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Voorwoord 


Nog steeds geven gemeenten onvoldoende invulling aan een aantal essentiële normen 
op het terrein van beveiligingsbeleid, de organisatie van informatiebeveiliging en de 
logische toegangsbeveiliging. Van de gemeenten voldoet 17% aan zeven door de 
inspectie geselecteerde normen. Dit onderzoek toont aan dat er op het terrein van 
informatiebeveiliging in een periode van bijna twee jaar een verbetering is opgetreden. 
In het onderzoek'de burger bediend in 2013' scoorde slechts 4% van alle gemeenten 
positief op alle zeven normen. 

In het rapport wordt per gemeente weergegeven aan hoeveel normen is voldaan. 
Specifiek is ook gekeken naar de groep gemeenten die in het vorige onderzoek is 
beoordeeld. Het blijkt dat die gemeenten er gemiddeld meer op vooruit zijn gegaan. 
Maar ook hier geldt dat verreweg de meeste gemeenten niet aan alle normen voldoen. 

Vanuit het opdrachtgeversberaad zijn in oktober 2014 diverse acties - samengevat in 
het programmaplan 'borging veilige gegevensuitwisseling Suwinet' - benoemd die 
gericht zijn op een veiligere gegevensuitwisseling. Daarnaast heeft de VNG aanvullend 
acties gestart. Het uiteindelijke resultaat is echter altijd een gevolg van acties die 
gemeenten zelf ondernemen. Daarom moet bij de gemeente het belang van een veilig 
gebruik van gegevens worden uitgedragen in de organisatie en verweven in de 
dagelijkse praktijk. 

De Inspectie zal met de VNG optrekken om de bevindingen en resultaten van het 
onderzoek breed onder gemeenten te verspreiden. Daarnaast zal de Inspectie 
aanvullend onderzoek uitvoeren bij individuele gemeenten. 


Mr. J.A. van den Bos 
Inspecteur-generaat 
Sociale Zaken en Werkgelegenheid 


Pagina 3 van 73 



| Suwinet 'veilig omgaan met eikaars gegevens' | mei 2015 


Pagina 4 van 73 



| Suwinet 'veilig omgaan met eikaars gegevens' | mei 2015 


Inhoud 


Colofon—2 
Voorwoord—3 

1 Samenvatting en oordeel—7 

1.1 Aanleiding en achtergrond—7 

1.2 Onderzoekvraag—8 

1.3 Toetsingskader—8 

1.4 Onderzoeksmethode—8 

1.5 Oordeel—9 

2 Inleiding—13 

2.1 Algemeen—13 

2.2 Probleemstelling en onderzoeksvragen—17 

2.3 Toetsingskader—18 

2.4 Onderzoeksmethode en reikwijdte uitspraken—19 

3 Bevindingen landelijk onderzoek—21 

3.1 Algemeen—21 

3.2 Het informatiebeveiligingsbeleid—21 

3.3 Inrichting en onderhoud van de beveiligingsfunctie en -organisatie van Suwinet—23 

3.4 Logische toegangsbeveiliging—25 

3.5 Totaalscore—27 

3.6 Grote versus kleine gemeenten—28 

3.7 Bevindingen steekproef 2015 ten opzichte van 2013—28 

4 Overige bevindingen—29 

4.1 Helderheid begrippen—29 

4.2 Logging—29 

5 Reactie van de gemeenten op het onderzoek—31 

6 Bestuurlijke reacties - naschrift Inspectie—33 


Bijlagen— 

Bijlage 1 
Bijlage 2 
Bijlage 3 
Bijlage 4 
Bijlage 5 
Bijlage 6 
Bijlage 7 
Bijlage 8 
Bijlage 9 
Bijlage 10 
Bijlage 11 
Bijlage 12 


35 

Bestuurlijke reacties—37 

Overzicht verbetermaatregelen Suwinet—47 

Overzicht bevindingen gemeenten (78)—49 

Overzicht bevindingen gemeenten in het vorig onderzoek (43)—53 

Overzicht mutaties in de uitslagen gemeenten in de vorige steekproef (43)—55 

Overzicht samenwerkingsverbanden (ISD en/of uitbestedingen)—57 

Methodologische verantwoording—59 

Wettelijk kader—63 

Opvallend zoekgedrag—65 

Analyse grote en kleine gemeenten—67 

Vragenlijst uitvraag gemeenten (blanco)—69 

Publicaties van de Inspectie SZW - directie Werk en Inkomen—73 


Pagina 5 van 73 



| Suwinet 'veilig omgaan met eikaars gegevens' | mei 2015 


Pagina 6 van 73 



| Suwinet 'veilig omgaan met eikaars gegevens' | mei 2015 


1 Samenvatting en oordeel 


1.1 Aanleiding en achtergrond 

De Inspectie SZW heeft diverse malen gerapporteerd over gebrekkige beveiliging van 
persoonsgegevens die worden uitgewisseld via Suwinet en incidenteel misbruik of 
oneigenlijk gebruik van deze gegevens. Mede naar aanleiding van het rapport 'De 
burger bediend in 2013' dat in oktober 2013 is gepubliceerd, is een groot aantal 
maatregelen vanuit de VNG, UWV en SVB (samen vertegenwoordigd in het 
Opdrachtgeversberaad) en het ministerie SZW aangekondigd. 1 

De staatssecretaris heeft in het Algemeen Overleg van 20 maart 2014 toegezegd de 
Inspectie SZW te vragen het onderzoek naar de beveiliging vanaf het najaar 2014 te 
herhalen. Het betreft een vervolgonderzoek op het onderzoek uit 2013. In het 
Algemeen Overleg is tevens aangegeven dat aan de hand van de uitkomsten van dit 
onderzoek met VNG en BZK wordt vastgesteld of aanvullende maatregelen nodig zijn. 
De Inspectie SZW heeft met het verzoek voor een vervroegde uitvoering van het 
vervolgonderzoek ingestemd. In de oorspronkelijke planning stond dit onderzoek voor 
eind 2015. 

Aanvullend heeft de Inspectie SZW, mede op verzoek van de staatssecretaris, een 
onderzoek uitgevoerd specifiek naar de gemeenten die bij het vorige onderzoek in de 
steekproef zaten. De focus ligt daarbij op de vooruitgang die binnen deze groep van 
gemeenten is gerealiseerd. 

Het uitgevoerde onderzoek is - net zoals in 2013 - een beperkt onderzoek, omdat: 

• het aantal normen waaraan wordt getoetst (7 normen) slechts een beperkt 
deel is van het totale normenkader Gemeenschappelijke elektronische 
Voorzieningen Suwinet (GeVS). Dit kader omvat 115 normen; 

• het onderzoek zich alleen baseert op de documenten die gemeenten gestuurd 
hebben, aangevuld met rapportages en logfiles van het Bureau 
Keteninformatisering Werk en Inkomen (BKWI); 

• het onderzoek zich richt op een deel van GeVS, namelijk Suwinet. De 
decentrale voorziening(en) blijven buiten beschouwing; 

• het onderzoek zich primair richt op Suwinet-Inkijk en niet op de andere 
Suwinet-services zoals Suwinet-Inlezen; 

• het zich alleen richt op het gebruik van Suwinet binnen het domein van werk 
en inkomen. 

Ondanks deze beperkingen is het onderzoek van belang, omdat: 

• de zeven normen essentieel zijn. Met deze normen worden de aandachts¬ 
gebieden organisatorische aspecten en logische toegangsbeveiliging vooreen 
belangrijk deel afgedekt; 

• zelfs in de situatie dat een gemeente alles op informele wijze ofwel 'soft 
Controls' (nadruk op vertrouwen, gedrag en cultuuraspecten) heeft ingeregeld 
zal er in de verslaglegging hiervan iets terug te vinden zijn. Te denken valt aan 
opgevraagde rapportages, memo's, agenda's, verslagen, telefoonnotities, mails 
of lijst met een paraaf/controlevink. 


1 Om te zorgen voor een duidelijkere sturing op BKWI en Suwinet vanuit de Suwipartijen SVB, UWV en gemeenten is er 
een nieuw beraad in het leven geroepen: het Opdrachtgeversberaad. 
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1.2 Onderzoekvraag 

De bescherming van de privacy van de personen wiens persoonsgegevens worden 
verwerkt, vereist vooral dat de vertrouwelijkheid voldoende gewaarborgd is. 
Vertrouwelijkheid wil zeggen dat een gegeven alleen toegankelijk is voor een 
functionaris die daartoe bevoegd is en dat deze functionaris niet meer gegevens 
raadpleegt dan nodig is voor de taakuitoefening. 

De centrale vraag in het onderzoek is: 

In welke mate voldoen gemeenten aan de eisen van vertrouwelijkheid die worden 
gesteld aan de beveiliging van gegevens die worden uitgewisseld binnen Suwinet? 


1.3 Toetsingskader 

Het toetsingskader dat is gehanteerd is gelijk aan dat van het vorige onderzoek 'De 
burger bediend in 2013'. Getoetst wordt aan zeven essentiële normen uit het 
Normenkader'Gezamenlijke elektronische Voorzieningen SUWI'. 2 Dit normenkader is 
sinds het jaar 2002 van kracht. Deze zeven normen hebben betrekking op: 

het informatiebeveiligingsbeleid en het informatiebeveiligingsplan voor Suwinet 
(norm 1.3, 1.4 en 1.5); 

de inrichting en het onderhoud van de beveiligingsfunctie en de beveiligings¬ 
organisatie van Suwinet (norm 2.2 en 2.3); 

de logische toegangsbeveiliging, gericht op het voorkomen van ongeautori¬ 
seerde toegang tot en gebruik van persoonsgegevens (norm 13.1 en 13.5). 


1.4 Onderzoeksmethode 

Voor het landelijke representatieve beeld zijn 78 gemeenten (uit het totaal van 
403 gemeenten) onderzocht. De beoordelingen zijn gebaseerd op de antwoorden en 
bewijsstukken van deze gemeenten. Verder is gebruik gemaakt van de BKWI-rappor- 
tages over het gebruik van Suwinet over de periode maart-augustus 2014 en van 
logfiles van BKWI. 

Voor een representatief beeld met betrekking tot de gemeenten die de vorige keer in 
de steekproef zaten zijn 43 gemeenten onderzocht. Meer informatie over de onder¬ 
zoeksmethode is beschreven in de bijlage methodologische verantwoording (bijlage 7). 


2 Van de totale set van 115 normen is een beperkt aantal normen als essentieel benoemd. Aan deze essentiële normen 
dient in elk geval te worden voldaan. Bij de overige normen is volgens de verantwoordingsrichtlijn ruimte voor "niet- 
materiële tekortkomingen". 
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1.5 Oordeel 


Gemeente 

voldoet aan: 

Aantal gemeenten 

Onderzoek 2013 
(n=80) 

Percentage 

afgerond 

Aantal gemeenten 

Onderzoek 2015 

_tn=78) 

Percentage 

afgerond 

7 normen 

3 

4% 

13 

17% 


Slechts één op de zes gemeenten voldoet aan de zeven essentiële normen. 

Er is een significante verbetering (de gemiddelde score steeg van 2,4 naar 3,9 normen 
positief) ten opzichte van het onderzoek in 2013. Dit is te danken aan de diverse acties 
vanuit het opdrachtgeversberaad en individuele gemeenten. Echter het totaalbeeld is 
onvoldoende, zeker als men zich bedenkt dat de normen al sinds 2002 gelden. 

Het zijn vooral de normen die zich meer richten op de "werking" van Suwinet die lager 
scoren. Het betreft dan zaken als het daadwerkelijk controleren, rapporteren en 
voorlichten. 
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Figuur 1: De landkaart geeft de scores per gemeente weer. Ook samenwerkings¬ 
verbanden zijn hierin weergegeven. 



Aan 7 normen voldaan 


Aan 6 normen voldaan 


Aan 5 normen voldaan 


Aan 4 normen voldaan 


Aan 3 normen voldaan 


Aan 2 normen voldaan 


Aan 1 normen voldaan 


Aan 0 normen voldaan 


Samenwerkingsverband 
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Onderzoek vergelijking gemeenten die ook betrokken waren bij het onderzoek 2013 
Er zijn 43 gemeenten onderzocht die twee jaar geleden ook in de steekproef zaten. 
Slechts zes gemeenten voldoen aan de zeven essentiële normen. 

De gemiddelde score van deze groep steeg van 2,4 naar 4,7 normen positief. Deze 
verbetering is groter dan de resultaten vanuit het landelijke beeld. Desondanks zijn er 
binnen deze groep vijf gemeenten die op minder normen positief scoren dan twee jaar 
geleden. Tevens zijn er vier gemeenten die op alle normen negatief scoren. Daar staat 
tegenover dat er ook één gemeente is die bij het vorige onderzoek op nul normen 
positief scoorde en nu op alle zeven normen. 

Ontwikkelingen 

In het licht van het toenemend gebruik van elektronische gegevensuitwisseling en de 
druk vanuit gemeenten om beschikbare gegevens in te zetten ten behoeve van het 
gehele sociale domein (decentralisatieoperatie) worden de risico's die gemeenten lopen 
navenant groter. 

Door de decentralisatie is de roep van gemeenten om gebruik te maken van gegevens 
vanuit Suwinet toegenomen. Het gebruik van Suwinet is echter alleen mogelijk indien 
daartoe een wettelijke grondslag is. Bij de verwerking van persoonsgegevens dient 
daarnaast de Wet bescherming persoonsgegevens (Wbp) in acht te worden genomen 
(naleving beginselen van doelbinding, proportionaliteit, subsidiariteit etc.). Verder dient 
bij het gebruik van Suwinet rekening te worden gehouden met andere relevante 
wetgeving, zoals de Wet eenmalige gegevensuitvraag werk en inkomen (WEU). 

Onbekendheid 

BKWI is de beheerder van Suwinet en heeft een faciliterende, beherende en 
coördinerende rol. 

De Inspectie SZW merkt op dat verwachtingen die gemeenten hebben over de verant¬ 
woordelijkheid en rol van BKWI niet altijd even scherp zijn. Sommige gemeenten 
dichten BKWI meer verantwoordelijkheid toe dan feitelijk het geval is. Dit betekent dat 
gemeenten hun eigen verantwoordelijkheid te licht opvatten. Gemeenten volstaan dan 
met de informatie die zij van BKWI ontvangen. Deze tendens neemt de Inspectie SZW 
ook waar ten aanzien van samenwerkingsverbanden, waarbij een individuele gemeente 
zich niet of in minder mate verantwoordelijk voelt voor het veilig gebruik van Suwinet. 

De Inspectie SZW is van mening dat de dienstverlening door BKWI richting gemeenten 
verder kan verbeteren. Dat kan overigens alleen in dialoog. Een actieve inhoudelijke 
inbreng van gemeenten (of het bredere Opdrachtgeversberaad) en de expertise van 
BKWI zijn daarbij van belang. 

Onbekendheid is ook aan de orde wanneer het gaat om de kennis van diverse 
begrippen (zoals GeVS, Suwinet, Suwinet-Inlezen en DKD-Inlezen). Gemeenten zijn 
onvoldoende bekend met deze materie. Dat heeft voor een belangrijk deel te maken 
met het feit dat het onderwerp een sterk technisch karakter heeft. Kennis van deze 
begrippen is van belang omdat het een doorwerking heeft naar de beveiliging van 
gegevens. 

Gedrag en cultuur 

Van groot belang is ook het element cultuur op de werkvloer. Daaronder wordt 
verstaan het gedrag van de gebruikers van Suwinet. Als gebruikers niet beseffen dat 
ze met gevoelige gegevens werken en niet weten welke consequenties het onzorg¬ 
vuldig gebruik van gegevens kan hebben, lopen gemeenten, individuele gebruiker en 
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burgers risico's. Het management van de afnemer heeft een belangrijke rol de 
gebruikers daar frequent op te wijzen en maatregelen te treffen om misbruik tegen te 
gaan door regels en voorbeelden te stellen. 


Verbetermaatregelen 

Ten aanzien van het Opdrachtgeversberaad neemt de Inspectie SZW waar dat er 
diverse verbetermaatregelen landelijk zijn aangekondigd. Het beraad bestaat uit ver¬ 
schillende organisaties (SVB, UWV en VNG) elk met hun eigen doelstellingen, echter 
geen van hen met doorzettingsmacht. De feitelijke resultaten, waar dit onderzoek zich 
op richt, worden geboekt door de individuele gemeenten. 


Pagina 12 van 73 



| Suwinet 'veilig omgaan met eikaars gegevens' | mei 2015 


2 Inleiding 


2.1 Algemeen 

Met de inwerkingtreding van de Wet Structuur uitvoeringsorganisatie werk en inkomen 
(Wet SUWI) in 2002 is het voor UWV, de SVB en gemeenten mogelijk gemaakt om 
digitaal gegevens van burgers met elkaar uit te wisselen. 3 Deze gegevensuitwisseling 
vindt plaats via onder andere het zogenoemde Suwinet. Miljoenen keren per jaar 
raadplegen medewerkers van genoemde organisaties persoonsgegevens voor vooral 
het toekennen, continueren en beëindigen van uitkeringen. Zij raadplegen daartoe 
eikaars databestanden, maar ook de bestanden van onder meer de Belastingdienst, de 
Rijksdienst voor het Wegverkeer, de Dienst Uitvoering Onderwijs (studiefinanciering), 
het Kadaster en de Gemeentelijke Basisadministratie persoonsgegevens (GBA). 
Raadpleging vindt plaats op basis van een wettelijke grondslag. Elektronische 
gegevensuitwisseling via Suwinet is onmisbaar om de kwaliteit van integrale 
dienstverlening aan burgers te borgen. Aangezien via het Suwinet persoonsgegevens 
te raadplegen zijn is het van belang dat hiermee zorgvuldig wordt omgegaan. De 
uitkomsten van het onderzoek 'De burger bediend in 2013' gaven aan dat dit niet het 
geval is. De meeste gemeenten gaan onzorgvuldig om met het gebruik van Suwinet. 

Verbetertraject 

De laatste anderhalf jaar zijn er diverse verbetermaatregelen aangekondigd. 

De VNG heeft de publicatie 'Naar veiliger gebruik van Suwinet: De bal ligt bij ge¬ 
meenten' uitgebracht. Hierin staat dat verbetering van de beveiliging noodzakelijk 
is. Te meer omdat gemeenten steeds meer taken oppakken waarbij directe dienst¬ 
verlening aan de burger centraal staat. Veilige uitwisseling en gebruik van gegevens is 
daarvoor essentieel. Bovendien wordt gegevensuitwisseling bij dienstverlening volgens 
de VNG een steeds belangrijker fenomeen: ketens worden steeds complexer en hangen 
steeds meer met elkaar samen. Ten slotte is verbetering nodig, omdat elektronische 
gegevensuitwisseling de meest efficiënte wijze is om een burger integraal te kunnen 
ondersteunen. 

De VNG heeft daarom een tweeledig verbetertraject ingezet. Dit omvat een aanpak die 
voorziet in een generiek normenkader voor informatieveiligheid in het algemeen. 
Daarnaast is er een specifiek traject gericht op korte termijnverbetering binnen het 
terrein werk en inkomen. Ook biedt de VNG verbeterinstrumenten aan, waaronder een 
zelftest voor gemeenten. Met deze zelftest kan elke gemeente op elk moment in kaart 
brengen of zij inzage in Suwinet op de juiste manier aan haar medewerkers aanbiedt, 
of er op goed gebruik wordt toegezien en hoe de waarborgen daarvoor zijn ingebed. 
Deze zelftest is in 2014 voor de eerste keer uitgevoerd. Begin 2015 is de tweede 
zelftest uitgevoerd. De resultaten van de tweede zelftest zullen nagenoeg gelijktijdig 
met dit rapport verschijnen. Opgemerkt dient te worden dat de zelftest geen 
confrontatie inhoudt met gegevens van BKWI. 

Om te zorgen voor een duidelijke sturing op het Bureau Keteninformatisering Werk en 
Inkomen (BKWI) en Suwinet is vanuit de Suwipartijen UWV, SVB en de gemeenten 
(VNG) sinds 11 februari 2014 het Opdrachtgeversberaad van start gegaan. Hiermee is 
een stap gezet naar meer helderheid over de verantwoordelijkheden voor de instand¬ 
houding van Suwinet door de partijen en zijn betere afspraken rondom 


3 Art. 62 Suwi 
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privacy en beveiliging mogelijk. Binnen het beraad is er geen partij die doorzettings- 
macht heeft. 

Het Opdrachtgeversberaad heeft begin oktober 2014 het Programmaplan 'Borging 
veilige gegevensuitwisseling via Suwinet' opgeleverd. Dit plan beschrijft een breed 
pakket van samenhangende maatregelen gericht op het borgen van veilige gegevens¬ 
uitwisseling en betere bescherming van persoonsgegevens. Het programmaplan loopt 
parallel aan het VNG-verbeterplan. Bijlage 2 bevat een opsomming van de 
verbetermaatregelen in het programmaplan. 

Daarnaast heeft staatssecretaris Klijnsma aan de Tweede Kamer een aantal 
maatregelen toegezegd. 4 Ook roept zij de Colleges van burgemeester en wethouders 
op tot het werk maken van een zorgvuldig gebruik van Suwinet, vraagt zij aan de 
gemeenteraden om de Colleges hierin kritisch te volgen, en benadrukt zij het belang 
van het verbeterplan van de VNG. De Inspectie SZW is verzocht een vervolgonderzoek 
uit te voeren over de situatie in 2014. In april 2015 zal de staatssecretaris de Kamer 
hierover informeren. 5 

Het Suwinet nader bezien 

Het Suwinet is een belangrijke elektronische voorziening voor gegevensuitwisseling 
tussen de diverse organisaties die werkzaam zijn binnen het domein van werk en 
inkomen. Het Suwinet biedt een tiental services. 


Figuur 2: Suwinet services (bron BKWI) 



BKWI is de beheerder van de centrale voorziening Suwinet en heeft een beherende en 
coördinerende rol. 

Suwinet-Inkijk en Suwinet-Inlezen zijn naar omvang van het berichtenverkeer twee 
grote services. 


4 Dit betreft o.a. een privacy impact assessment naar Suwinet zoals aangekondigd per brief van 8 november 2013 in het 
kader van het programma "Borging veilige gegevensuitwisseling via Suwinet". 

5 Zie bijlage 2 voor een uitgebreid overzicht van genoemde maatregelen. 
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Suwinet-Inkijk biedt Suwi-partijen de mogelijkheid om gegevens van burgers, die bij 
andere overheidsorganisaties of in basisregistraties zijn opgeslagen, snel te raadplegen 
in een webtoepassing. Suwinet-Inkijk toont een overzicht van de opgevraagde gege¬ 
vens van de betreffende burger. Het bevat persoonsgegevens van bijna alle 
Nederlanders. 

Suwinet-Inkijk heeft 24.500 gebruikers en maandelijks worden er van circa 680.000 
Nederlanders gegevens opgevraagd 6 . 

In principe zijn alle gegevens van alle Nederlanders voor de gebruikers opvraagbaar, 
echter zij mogen dit alleen doen in het kader van de uitvoering van de wettelijke taak 
WWB, IOAW en IOAZ. Anders gezegd: om 450.000 mensen met een WWB-uitkering te 
bedienen heeft een grote groep mensen (GSD) toegang tot de gegevens van alle 
Nederlanders. 

Dit stelt hoge eisen aan de toegangsbeveiliging en vereist een zorgvuldig gebruik. De 
gegevensuitwisseling vindt plaats over het beveiligde netwerk Suwinet. Iedere hande¬ 
ling van de gebruiker van Suwinet-Inkijk wordt door BKWI gelogd. Op basis van deze 
logging worden periodieke rapportages opgesteld. Hierdoor kan er door de deelne¬ 
mende organisaties gerichte controle op eventueel misbruik plaatsvinden. Aangesloten 
gebruikers en bronnen van Suwinet-Inkijk zijn onder andere: UWV, GSD, SVB, 
Belastingdienst, DUO, RDW, GBA en Kadaster. 

Suwinet-Inlezen biedt de mogelijkheid om gegevens van andere overheidsorganisaties 
direct in bedrijfsapplicaties in te lezen en voor in te vullen in e-formulieren. Op dit 
moment maakt één gemeente gebruik van Suwinet-Inlezen. 

Gegevens die binnen het domein werk en inkomen aanwezig zijn, mogen alleen worden 
uitgewisseld met andere organisaties wanneer de wet dit toestaat en overeenkomsten 
zijn ondertekend. Zo is gegevensuitwisseling onder meer mogelijk gemaakt voor de 
Regionale Meld- en Coördinatiefunctie voortijdig schoolverlaten, gemeentelijke 
deurwaarders en Burgerzaken. 

Figuur 3 (deels afgeleid van materiaal BKWI) geeft de diverse bronnen, afnemers en 
gegevensstromen binnen het Suwinet weer. 

Het figuur beschrijft ook de speciale positie van gemeenten. Zo is de dienst Werk en 
Inkomen van de gemeente een Suwipartij. Daarnaast zijn ook andere onderdelen van 
gemeenten die niet-Suwitaken uitvoeren, maar wel gegevens van Suwinet raadplegen. 
Ook zijn er onderdelen binnen een gemeente die in het geheel geen verbinding hebben 
met Suwinet. 

De situatie van gemeentelijke sociale diensten die onderdeel zijn van een gemeen¬ 
schappelijke sociale dienst (of het uitbesteed hebben aan een andere gemeente) is 
afzonderlijk weergegeven. Dat geldt ook voor het sociaal domein, dat deels gevormd 
wordt uit de sociale diensten (Suwipartijen) en andere afdelingen die daar buiten 
vallen. Door de decentralisatie is de roep van gemeenten om gebruik te maken van 
gegevens vanuit Suwinet toegenomen. Vanuit de regelgeving is dit alleen toegestaan 
als er een wettelijke titel bestaat. Gemeenten dienen daarnaast te voldoen aan de WBP 
en WEU. 


6 Zie factsheet Suwinet-Inkijk van BKWI d.d. september 2014. De 24.500 gebruikers zijn verdeeld over een aantal 
verschillende organisaties waaronder ook UWV en SVB. Dit zijn dus niet alleen gebruikers ten behoeve van de WWB, 
maar ook voor andere wettelijke taken. 
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Figuur 3: Suwinet, bronnen, gegevensstromen en gebruikers 
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Doelstelling van het onderzoek 

Het rapport verschaft een representatief beeld van de mate waarin gemeenten voldoen 
aan de eisen die worden gesteld aan de beveiliging van gegevensuitwisseling via 
Suwinet. De uitkomsten van het onderzoek worden actief onder de aandacht van de 
diverse betrokken partijen gebracht. 

De uitkomsten van het onderzoek kunnen voor diverse doeleinden worden benut: 

de staatssecretaris kan de informatie benutten voor de verdere besluitvorming 
over elektronische gegevensuitwisseling met het Opdrachtgeversberaad en 
BZK; 

het Opdrachtgeversberaad kan de sturing op Suwinet en de afspraken rondom 
privacy en beveiliging verder aanpassen en verscherpen; 
de VNG kan aanvullende verbetermaatregelen treffen of bestaande maat¬ 
regelen intensiveren; 

een individuele gemeente (College van B&W) kan zelfstandig actie onder¬ 
nemen; 

een individuele gemeente (gemeenteraad) kan het College op de voortgang 
van verbetermaatregelen bevragen; 

BKWI kan haar dienstverlening (o.a. rapportages en voorlichting) verder 
verbeteren; 

de Inspectie kan de uitkomsten benutten voor eventueel toekomstig onder¬ 
zoek. 


2.2 Probleemstelling en onderzoeksvragen 

Een veilige manier van omgaan met persoonsgegevens impliceert dat er door de 
gemeente procedures en processen zijn ingericht die de vertrouwelijkheid, integriteit 
en continuïteit van de gebruikte systemen waarborgen. Persoonsgegevens dienen op 
een veilige manier te worden verzameld, verwerkt en gedeeld. 

De Inspectie SZW is van mening dat de grootste risico's zich in de praktijk voordoen in 
relatie tot het aspect vertrouwelijkheid: gegevens dienen alleen te benaderen te zijn 
door iemand die daarvoor gemachtigd is en alleen worden gebruikt ter uitvoering van 
zijn wettelijke Suwi-taken. 

De centrale vraag van dit onderzoek is: 

In welke mate voldoen gemeenten aan de eisen van vertrouwelijkheid die worden 
gesteld aan de beveiliging van gegevens die worden uitgewisseld binnen het Suwinet? 
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2.3 Toetsingskader 

Onderstaand figuur schetst het wettelijk kader vanuit de Wet SUWI. 
Het toetsingskader is daarvan afgeleid. 


Figuur 4: Van wettelijk kader naar toetsingskader 
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§ 5.3 Rapportage gegevensverwerking 
§ 6.1 Eenmalige uitvraag van gegevens, elektronische voorzieningen en IB 
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De Inspectie SZW gaat in dit onderzoek uit van 7 essentiële normen voor de 
waarborging van de vertrouwelijkheid zoals opgenomen in het normenkader GeVS 
(Gezamenlijke elektronische Voorzieningen SUWI). 7 De gehanteerde normen hebben 
betrekking op de volgende aandachtsgebieden: 


7 Van de totale set van 115 normen is een beperkt aantal normen als essentieel benoemd. Aan deze essentiële normen 
dient in elk geval te worden voldaan. In de overige normen is volgens de verantwoordingsrichtlijn ruimte voor 'niet- 
materiële tekortkomingen'. 
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1. Het informatiebeveiligingsbeleid en het informatiebeveiligingsplan voor 
Suwinet. 

2. De inrichting en het onderhoud van de beveiligingsfunctie en de 
beveiligingsorganisatie van Suwinet. 

3. De logische toegangsbeveiliging, gericht op het voorkomen van 
ongeautoriseerde toegang tot en gebruik van persoonsgegevens. 

In 2013 is de Baseline Informatiebeveiliging Gemeenten vastgesteld. Deze tactische 
baseline spreekt niet van aandachtsgebieden maar van hoofdbeveiligingscatego- 
rieën/secties en subcategorieën /secties en gebieden. De daadwerkelijke verschillen 
tussen het Normenkader GeVS en BIG zijn beperkt. 


2.4 Onderzoeksmethode en reikwijdte uitspraken 

Voor dit onderzoek is een aselecte steekproef getrokken van 78 uit de 403 gemeenten 
in Nederland (stand 1 september 2014). Op grond van deze steekproef kunnen 
representatieve uitspraken over alle gemeenten worden gedaan. 

In het vorige onderzoek waren 80 gemeenten onderzocht. Er is uit deze groep een 
aselecte steekproef getrokken van 43 gemeenten. Op grond van deze steekproef kan 
een representatieve uitspraak worden gedaan over de groep gemeenten die twee jaar 
geleden is onderzocht. Doel is om te kijken of zich een verbetering heeft voorgedaan in 
deze specifieke groep. 

Het oordeel van de Inspectie SZW is gebaseerd op de antwoorden die de gemeenten 
hebben gegeven op vragen en op de bijbehorende bewijsstukken. 

Tevens is gebruik gemaakt van de BKWI rapportages over het gebruik van Suwinet- 
Inkijk in de periode maart - augustus 2014 en de rapportages (logfiles) die BKWI ten 
behoeve van het onderzoek heeft opgesteld. 

Het vorige onderzoek had betrekking op de periode 2011-2012. Dit onderzoek 
concentreert zich op de periode van 1 januari 2014 tot 1 september 2014. 
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3 Bevindingen landelijk onderzoek 


3.1 Algemeen 

Bij het vorige onderzoek is opgemerkt dat een aantal gemeenten voor wat betreft de 
uitvoering van de WWB en aanverwante sociale voorzieningen samenwerkt. Van de 
80 gemeenten waren er destijds 30 (38%) die op een of andere manier met elkaar 
samenwerken. Ten opzichte van twee jaar geleden is de samenwerking verder toe¬ 
genomen. In totaal 48 (62%) van de 78 gemeenten kennen een samenwerkings¬ 
verband. Veelal betreft dit een ISD constructie. Bij de samenwerkingsverbanden zijn 
de gemeenten die een klein deel hebben uitbesteed - veelal de sociale recherche - 
buiten beschouwing gelaten. Bijlage 6 bevat een overzicht van de samenwerkings¬ 
verbanden. 

Bij zes gemeenten, die de uitvoering van de WWB in ISD verband laten uitvoeren, 
bleek dat er nog een aantal accounts binnen de eigen gemeente in gebruik was. Dit 
betrof accounts voor bijvoorbeeld de uitvoering van de bijzondere bijstand. Uit oogpunt 
van informatiebeveiliging levert dit extra werk op, omdat met betrekking tot gege¬ 
vensbeveiliging een splitsing (in beleid en uitvoering) wordt aangebracht naar ISD en 
gemeente. Het feit dat er slechts een beperkt aantal accounts bij gemeenten achter¬ 
blijft, betekent niet automatisch dat daardoor ook de beveiligingsmaatregelen minder 
kunnen zijn. 

Het feit dat er frequent veranderingen in de samenwerkingsverbanden optreden 
(gemeenten komen erbij of vertrekken), heeft ook gevolgen voor de werkzaamheden 
van BKWI. Het betekent dat diverse rapportages aangepast dienen te worden. 

Als een gemeente alles heeft uitbesteed, zijn de gegeven door BKWI niet meer te 
splitsen naar een individuele gemeente. In het onderzoek is dan uitgegaan van het 
totaal van het samenwerkingsverband. 

Bij de samenwerkingsverbanden komt het voor dat individuele gemeenten minder 
verantwoordelijkheid voelen voor de uit de wet- en regelgeving voortvloeiende eisen 
op het gebied van de privacy. Echter, op grond van de Wet bescherming persoons¬ 
gegevens blijft, ook als de uitvoering wordt uitbesteed, de gemeente verantwoordelijk 
voor het voldoen aan de wet- en regelgeving. 


3.2 Het informatiebeveiligingsbeleid 

Het toetsingskader schrijft voor dat gemeenten dienen te beschikken over een infor¬ 
matiebeveiligingsbeleid c.q. een beveiligingsplan dat specifiek (ook) op Suwinet is ge¬ 
richt. Dit dient goedgekeurd te zijn door het management van de gemeente, te worden 
uitgedragen in de organisatie en jaarlijks te worden geëvalueerd/geactualiseerd. 


Norm 1.3: Het informatiebeveiligingsbeleid en het beveiligingsplan van het 
Suwinet zijn goedgekeurd door het management van de Suwi-partij 


Deze norm impliceert goedkeuring door het management. Door een enkele gemeente 
is gevraagd naar de operationalisatie van de term management. In de beleidsregels is 
dit niet verder uitgeschreven. In het onderzoek is uitgegaan van het College, de 
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wethouder, het managementteam of de manager (directeur/afdelingshoofd). Het is van 
belang dat de betrokkenheid van de eindverantwoordelijke te zien is bij de totstand¬ 
koming en de inhoud van het beveiligingsbeleid. 

Bij de beoordeling is de Inspectie nagegaan of het informatiebeveiligingsbeleid en/of 
-plan (ook) betrekking heeft op SUWInet, bijvoorbeeld doordat er een aparte passage of 
hoofdstuk aan Suwinet is gewijd. 

Vierenzestig (82%) van de onderzochte gemeenten beschikken overeen goedgekeurd 
informatiebeveiligingsbeleid of -plan. Dit is een verbetering ten opzichte van 2013. 

Toen scoorde 76% van de gemeenten positief. 

Van de veertien gemeenten die negatief scoorden hebben acht gemeenten aangeven 
dat men in de periode na 1 september 2014 actie heeft ondernomen. In een aantal 
gevallen heeft de Inspectie ook het informatiebeveiligingsbeleid en/of -plan ontvangen. 
Deze documenten zijn niet meer beoordeeld en vallen buiten de tellingen. 


Norm 1.4 Het informatiebeveiligingsbeleid en het beveiligingsplan van het 
Suwinet worden uitgedragen in de organisatie 


Deze norm heeft betrekking op de taak van het management het bewustzijn van de 
medewerkers betreffende informatiebeveiliging te stimuleren. 

Aan gemeenten is gevraagd aan te tonen dat het beleid en/of plan voor alle betrok¬ 
kenen centraal beschikbaar is gesteld, bijvoorbeeld door het op het intranet te plaatsen 
of via een handboek te verspreiden. Daarnaast is gevraagd aan te tonen dat het 
onderwerp in het afgelopen jaar minimaal 2 keer aan de orde is geweest in overleg, 
afdelingsvergadering, trainingen en/of presentaties. 

Deze norm is relevant omdat medewerkers actief op de hoogte moeten worden gesteld 
van wat wel en niet mag met Suwinet. De zogenaamde cultuuraspecten (gedrag, 
houding) mogen niet onderschat worden. Medewerkers dienen te beseffen dat zij 
gebruik maken van gevoelige gegevens. 

Negenenveertig gemeenten (63%) scoren positief op deze norm. Twee jaar geleden 
was dat 31%. Diverse varianten zijn bij de beantwoording genoemd zoals afdelings- 
overleggen, presentaties en het onderdeel zijn van een functioneringsgesprek. 


Norm 1.5 Het informatiebeveiligingsbeleid en/of het beveiligingsplan van het 
Suwinet wordt jaarlijks geëvalueerd en indien nodig geactualiseerd. 


Deze norm behelst dat na de implementatie van maatregelen dient te worden 
nagegaan of deze (blijven) voldoen aan de beveiligingseisen en -randvoorwaarden. 
Ook is de vraag relevant of risico's voldoende gereduceerd worden. 

De Inspectie SZW heeft bij de beoordeling een termijn van twee jaar gehanteerd 
waarbinnen het beleid en/of plan moeten zijn geëvalueerd of geactualiseerd. Als het 
afgelopen jaar een (nieuw) informatiebeveiligingsplan is vastgesteld wordt dit ook 
beschouwd als een actualisatie. De evaluatie moet een concrete actie zijn geweest van 
alle direct betrokkenen en ook zijn vastgesteld door het management. Zo nodig leidt 
de evaluatie tot de aanpassing van het informatiebeveiligingsbeleid, plan of passage. 

Eenenveertig gemeenten (53%) scoren positief. In 2013 was dat 21%. 
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Vierenzestig gemeenten hebben een informatiebeveiligingsbeleid en/of -plan 
opgestuurd. De ouderdom van deze documenten is in onderstaande tabel 
weergegeven. 


Jaar 

informatiebeleid en/of -plan 

Aantal gemeenten 

2014 

32 

2013 

12 

2012 

2 

2011 

3 

2010 

1 

2009 

4 

2008 

5 

2007 

1 

2006 

3 

2005 

1 




In een aantal gevallen gaf de gemeente aan de zelftest te beschouwen als evaluatie. 

Dit is als onvoldoende beoordeeld aangezien de zelftest (evenals dit onderzoek) slechts 
ingaat op een beperkt aantal normen. De Inspectie SZW verwacht bewijsstukken zoals: 
plan van aanpak evaluatie, vergaderverslagen, documenten als een enquête of 
anderszins waaruit blijkt dat de evaluatie breed is uitgezet (zowel qua aantal normen 
dat is beschouwd als het aantal betrokken functionarissen) en documenten waaruit 
blijkt dat die documenten zijn beoordeeld, enz. 


3.3 Inrichting en onderhoud van de beveiligingsfunctie en -organisatie van 
Suwinet 

Voor de realisatie van een (meer dan) voldoende beveiligingsniveau voor Suwinet is 
een adequaat ingerichte organisatie een randvoorwaarde. Dit omhelst functiescheiding 
en de aanstelling van een persoon die de beveiligingsprocedures en -maatregelen in 
het kader van Suwinet beheert en beheerst. 


Norm 2.2 De taken, verantwoordelijkheden en bevoegdheden ten aanzien van 
het gebruik, de inrichting, het beheer en de beveiliging van Suwinet 
gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en 
duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden 
zijn belegd. 

- operationeel beheer 

- functioneel beheer 

- technisch beheer 

- aansturing ICT-leveranciers 

- security officer 

- autorisatiebeheer 

- eigenaarschap Suwinet 


De Inspectie SZW heeft bij deze norm bekeken of de diverse functies schriftelijk zijn 
vastgelegd, of er een heldere overweging ten grondslag ligt aan welke taken waar zijn 
belegd en of er functiescheiding is toegepast. Daarbij is gelet op de splitsing tussen 
beschikkende, controlerende en uitvoerende taken. Door de functies duidelijk te 
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omschrijven en vast te leggen kan de functiescheiding aangetoond worden. Sommige 
kleinere gemeenten hebben (door de beperkte omvang van hun ambtelijk apparaat) 
diverse functies binnen één persoon gecombineerd. Indien de gemeente aangeeft zich 
bewust te zijn van de risico's van het (gedeeltelijk) ontbreken van functiescheiding en 
aantoonbaar aanvullende maatregelen heeft getroffen, wordt dit niet als negatief 
beoordeeld. 

In het onderzoek heeft de Inspectie SZW zich beperkt tot vier gescheiden functies (in 
plaats van de zeven zoals deze formeel in de norm worden genoemd). 

In principe zijn minimaal de volgende functies bij verschillende personen belegd: 

- uitvoering van taken (het gebruik van Suwinet zoals door de klantmanager); 

- het beheer van autorisaties (toegang verlenen tot Suwinet, de applicatiebeheerder 
van Suwinet); 

- kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van Suwinet, 
bijvoorbeeld de Security Officer); 

- management (beslissen over bevoegdheden van functiegroepen, en/of individuele 
medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, 
optreden na misbruik Suwinet). 

Zesenvijftig gemeenten (72%) scoren positief op deze norm. In 2013 was dat 30%. 


Norm 2.3 

- De security officer beheert en beheerst beveiligingsprocedures en - 
maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet 
in overeenstemming met wettelijke eisen is geïmplementeerd. 

- De security officer bevordert en adviseert over de beveiliging van Suwinet, 
verzorgt rapportages over de status, controleert dat met betrekking tot de 
beveiliging van Suwinet de maatregelen worden nageleefd, evalueert de 
uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen 
op het gebied van de beveiliging van Suwinet. 

- De security officer rapporteert rechtstreeks aan het hoogste management. 


Het is van belang dat er een medewerker is aangesteld die tot taak heeft te 
bevorderen en te controleren dat de beveiliging van het Suwinet op orde is. In het 
toetsingskader wordt voor deze functie de naam security officer gehanteerd. Deze 
persoon is deskundig op het terrein van informatiebeveiliging, controleert planmatig en 
periodiek of wordt voldaan aan de regels en analyseert eventuele incidenten. Tevens 
rapporteert hij aan het management of het bestuur van de organisatie. 

De Inspectie SZW heeft onderzocht of er een persoon aanwezig is die deze taken 
uitvoert: er moet periodiek - minimaal twee keer per jaar - naar de beveiliging van 
Suwinet worden gekeken. Daarbij is er niet alleen op gelet of de functie/taken in de 
organisatie belegd zijn, maar ook of aan de hand van documenten aantoonbaar was 
dat de functie en/of taken daadwerkelijk planmatig en periodiek werden uitgevoerd. 
Vooral is gekeken of er een schriftelijke neerslag is van de uitgevoerde controles en 
van rapportages aan het hoogste management. 

Vierendertig gemeenten (44%) scoren positief op deze norm. In het vorige onderzoek 
scoorde 24% positief op deze norm. 
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3.4 Logische toegangsbeveiliging 

Deze norm behelst de bescherming van de informatiehuishouding en de uitgewisselde 
te verwerken gegevens tegen ongeautoriseerde toegang en gebruik. 


Norm 13.1 De Suwi-partij autoriseert en registreert de gebruikers die toegang 
hebben tot de Suwinet applicaties op basis van een formele procedure waarin 
is opgenomen: 

- het verlenen van toegang tot de benodigde gegevens op basis van de uit te 
voeren functies/taken. 

- het uniek identificeren van elke gebruiker tot een persoon 

- het goedkeuren van de aanvraag voor toegangsrechten door de manager of 
een gemandateerde. 

- het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging 
of vertrek. 

- het benaderen van de Suwi-databestanden door gebruikers mag alleen 
plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten). 


Er moet op controleerbare wijze worden aangetoond dat huidige of in het verleden 
verstrekte toegangsrechten tot Suwinet in overeenstemming zijn met het wettelijk 
kader van Suwinet en de Wet bescherming persoonsgegevens, de uitoefening van een 
functie, de in de organisatie vastgelegde bevoegdheden rondom het toekennen/ 
wijzigen/intrekken van Suwinet autorisaties, de in acht te nemen functiescheiding en 
de richtlijnen rondom het gebruik van Suwinet en de controle op het gebruik (logging). 

Daartoe is onderzocht of de gemeente een autorisatieprocedure en -matrix heeft. 
Bekeken is of alle genoemde stappen in het proces aanwezig zijn, helder zijn 
beschreven en zijn toegewezen aan bevoegde functionarissen binnen de gemeente. 

Ook is bekeken of de autorisatiematrix specifiek ingaat op Suwinet, gebaseerd is op 
onderkende/aanwezige functieprofielen en aanwezige rollen in Suwinet. Door aan te 
geven welke persoon welke functie(s) uitoefent, kan op een gestandaardiseerde en 
controleerbare wijze de autorisatie vooreen persoon binnen Suwinet worden verleend 
en gecontroleerd. Het toekennen van rollen in Suwinet dient volgens een logische 
procedure plaats te vinden. Hieruit moet duidelijk worden op basis van welke 
afwegingen, welke medewerker welke gegevens mag zien. Als de gemeente dit 
herleidbaar maakt is dit afdoende. 

Daarnaast dient er controle op inactieve accounts plaats te vinden die periodiek 
worden verwijderd en zijn zware rollen beperkt uitgedeeld. In principe heeft buiten de 
GSD/WWB medewerkers slechts een zeer beperkte groep toegang tot Suwinet. Het 
betreft de gemeentelijke belastingdeurwaarders, burgerzaken of de regionale meld- en 
coördinatiefunctie voortijdig schoolverlaten. Voor deze groep dient een apart contract 
te worden afgesloten met BKWI. Gebruik van Suwinet door overige functionarissen 
zoals WMO-medewerkers, medewerkers parkeerbeheer of andere hierboven niet 
benoemde medewerkers is verboden. 

In totaal scoren 41 gemeenten (53%) positief op deze norm. Twee jaar gelden bedroeg 
dit percentage 38. 
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Norm 13.5 De controle op verleende toegangsrechten en gebruik vindt 
meerdere keren per jaar plaats. 

- interne controle op rechten en gebruik van Suwinet. 

- analyseren van de van het BKWI verkregen informatie over het gebruik van 
Suwi-gegevens. 


Deze norm betreft het belang om periodiek te controleren of de verleende toegangs¬ 
rechten in overeenstemming zijn met de vooraf bepaalde uitgangspunten. Zeker voor 
de zogenaamde zware rollen is de periodieke controle op uitgave van rechten en ge¬ 
bruik van die rollen belangrijk. 

Bij geconstateerde afwijkingen dienen corrigerende maatregelen te worden genomen. 
Deze zijn afhankelijk van de soort afwijking en variëren van beperking van toegangs¬ 
rechten tot disciplinaire maatregelen bij geconstateerd misbruik van persoonsgege¬ 
vens. 

Het BKWI biedt maandelijkse een generieke rapportage aan, waarin geaggregeerde en 
geanonimiseerde gegevens staan. Voor gemeenten is dit - een overigens niet afdoende 
- handvat bij de controle. Op basis van die generieke rapportage kan de gemeente 
beoordelen of het nodig is om verdere informatie in te winnen bij BKWI in de vorm van 
een specifieke rapportage, bijvoorbeeld als er veel wordt gezocht anders dan op BSN of 
veel raadplegingen zijn buiten kantooruren of bij een beperkt aantal gebruikers. 

Een specifieke rapportage kan, in tegenstelling tot een generieke, gegevens bevatten 
over individuele medewerkers en/of cliënten. 

De Inspectie SZW heeft op basis van gegevens van BKWI vastgesteld of de gemeente 
in 2014 daadwerkelijk minimaal twee keer een generieke rapportage heeft opge¬ 
vraagd. Tevens stelt de Inspectie SZW als eis dat er een procedure aanwezig is die de 
stappen beschrijft of dat er een rapportage aanwezig waaruit blijkt dat de gemeente 
een dergelijke controle heeft uitgevoerd. Aanvullend is gemeenten gevraagd of men 
een verklaring had voor bepaald opvallend zoekgedrag. Bijlage 9 bevat nadere 
informatie omtrent opvallend zoekgedrag. 

De Inspectie SZW verwacht ten slotte van gemeenten dat zij periodiek en steekproefs¬ 
gewijs ook specifieke rapportages bij hun controle inzetten. 

Overigens is het minimaal 2 keer per jaar opvragen van een generieke rapportage 
geen harde eis voor de beoordeling. Het kwam ook voor dat een gemeente alleen 
specifieke rapportages opvroeg en daarmee gerichte controles uitvoerde. Deze 
gemeente had een eigen vorm gevonden om de controle in te richten. 

Op basis van alleen de generieke rapportages is geen sluitende controle uit te voeren. 
Sommige gemeenten weten dat niet en denken dat zij van BKWI bericht krijgen als er 
iets niet goed gaat. 

Als verklaring voor opvallende raadplegingen wijzen gemeenten snel naar de Sociale 
Recherche. Veelal ontbreekt daarbij een nadere onderbouwing. Het beeld bij gemeen¬ 
ten bestaat dat het wel goed zit als het de Sociale Recherche betreft. 

Negenentwintig gemeenten (37%) scoren positief op deze norm. In 2013 scoorde 20% 
positief. 

Zesendertig gemeenten hebben een of meerdere rapportages gestuurd waaruit blijkt 
dat er een rapportage aan het management is gezonden met daarin de controle op het 
gebruik van Suwinet (inclusief de analyse van de BKWI rapportages). Een aantal 
gemeenten voldeed niet aan de norm omdat het een incidentenrapportage betrof of 
omdat er onvoldoende verklaring was voor opvallend zoekgedrag. 
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Drieënzestig gemeenten hebben in het afgelopen jaar twee of meer generieke 
rapportages opgevraagd. 

Wat betreft het opvragen van de specifieke rapportages in de periode 1 januari 2014 - 
1 september 2014 is de verdeling als volgt (gemiddelde score 1,26): 


Aantal opgevraagde specifieke 
rapportages 

Aantal gemeenten 

0 

26 

1 

24 

2 

12 

3 

13 

4 

3 


BKWI heeft gemeld dat er door gemeente na aankondiging van het onderzoek (15 juli) 
diverse vragen zijn gesteld en rapportages zijn opgevraagd. Voor zover deze lagen 
voor 1 september 2014 zijn deze bij de beoordeling meegenomen. 

Met betrekking tot het raadplegen van bekende Nederlanders heeft BKWI over 2014 
(de eerste acht maanden) bij twee gemeenten hits geconstateerd (via Suwinet-Inkijk) 
-3 op jaarbasis-, In het vorige onderzoek waren dat er 14 (over de onderzoeksperiode 
2011-2012) -7 op jaarbasis- 

Voor mensen met toegang tot Suwinet is het overigens veel interessanter om infor¬ 
matie op te zoeken die hen rechtstreeks raakt. Denk aan de vermogenspositie van de 
nieuwe vriend van een ex-partner, de nieuwe partner van een dochter, de aspirant 
kopers van huis/auto etc. 


3.5 Totaalscore 

Onderstaand overzicht laat de totaalscores zien van de gemeenten op de zeven 
normen. 


Landelijk beeld 2015 in vergelijking met 2013 


Gemeente 

voldoet aan: 

Aantal gemeenten 
Onderzoek 2013 
(n=80) 

Percentage 

afgerond 

Aantal gemeenten 
Onderzoek 2015 
(n=78) 

Percentage 

afgerond 

7 normen 

3 

4% 

13 

17% 

6 normen 

3 

4% 

13 

17% 

5 normen 

8 

10% 

11 

14% 

4 normen 

6 

8% 

13 

17% 

3 normen 

15 

19% 

5 

6% 

2 normen 

9 

11% 

7 

9% 

1 norm 

26 

33% 

9 

12% 

0 normen 

10 

13% 

7 

9% 


80 


78 



Bijlage 3 bevat een overzicht van de scores per gemeente op de zeven geselecteerde 
normen. 
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3.6 Grote versus kleine gemeenten 

De Inspectie is door gemeenten gewezen op verschillen in de beheersing van de be¬ 
veiliging die zouden samenhangen met de omvang van de organisatie die de WWB 
uitvoert. Het uitgangspunt daarbij is dat grotere gemeenten gemakkelijker administra¬ 
tieve processen kunnen opzetten ter bewaking van het gebruik van elektronische ge¬ 
gevens dan kleinere. Kleinere organisaties zouden dit kunnen compenseren, bijvoor¬ 
beeld omdat ambtenaren bij kleine organisaties beter in de gaten hebben wat collega's 
doen met Suwinet dan bij grotere organisaties. Omdat de Inspectie echter de nadruk 
legt op de administratieve organisatie, procedures en processen, worden die zgn. soft 
Controls niet of onvoldoende meegewogen - zo is de stelling - en zullen kleinere 
organisaties minder vaak aan de normen voldoen dan grotere. 

Om deze hypothese te testen, is een vergelijking gemaakt tussen grotere en kleinere 
gemeenten enerzijds, en goed en minder goed scorende gemeenten anderzijds. 

Daarbij is ook rekening gehouden met samenwerkingsverbanden. 

Hierbij is de grens tussen "groot" en "klein" op drie verschillende wijze getrokken. 
Geen van de drie situaties had tot uitkomst dat grotere organisaties beter presteren 
(dan wel dat kleinere minder goed presteren). In bijlage 10 is dit verder toegelicht. 


3.7 Bevindingen steekproef 2015 ten opzichte van 2013 

Van de groep gemeenten die twee jaar geleden ook is onderzocht, zijn er slechts zes 
die voldoen aan alle zeven de normen (2013 twee gemeenten). De verbetering in deze 
groep is wel aanzienlijk groter als het afgezet wordt tegen het eerder landelijk beeld 
(zie onderstaande tabel). 

Bijlagen 4 en 5 bevatten aanvullende informatie (ook op gemeenteniveau). 


Gemeente 

voldoet aan: 

Aantal gemeenten 

Onderzoek 2015 

(n = 78) 

Percentage 

afgerond 

Aantal gemeenten 

Onderzoek 

2013/2015 

(n=43) 

Percentage 

afgerond 

7 normen 

13 

17% 

6 

14% 

6 normen 

13 

17% 

15 

35% 

5 normen 

11 

14% 

9 

21% 

4 normen 

13 

17% 

3 

7% 

3 normen 

5 

6% 

2 

5% 

2 normen 

7 

9% 

2 

5% 

1 norm 

9 

12% 

2 

5% 

0 normen 

7 

9% 

4 

9% 


78 


43 



De scores per norm geven significante verbeteringen weer. Vooral de normen die 
betrekking hebben op de logische toegangsbeveiliging blijven echter achter. 


Gemeente 


Norm 1.3 

Norm 1.4 

Norm 1.5 

Norm 2.2 

Norm 2.3 

Norm 13.1 

Norm 13.5 

Aantal 

normen 

voldoende 

Totaal 

2013 

74% 

28% 

26% 

37% 

23% 

33% 

21% 

2.4 


2015 

88% 

74% 

65% 

77% 

63% 

47% 

53% 

4.7 
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4 Overige bevindingen 


4.1 Helderheid begrippen 

In het onderzoek'De burger bediend in 2013' is het onderwerp Suwinet-Inlezen kort 
besproken. Conclusie was toen dat het een relatief onbekend onderwerp was. Gezien 
het feit dat momenteel één gemeente 8 gebruik maakt van Suwinet-Inlezen is die 
conclusie verklaarbaar. 

GeVS kent naast Suwinet ook andere voorzieningen. DKD-Inlezen is er daar één van 
(valt buiten dit onderzoek naar Suwinet). DKD-Inlezen is een decentrale ketenservice. 
Het Inlichtingenbureau levert aan circa honderd gemeenten (van de ruim 330 aange¬ 
sloten gemeenten) ketenberichten die voor de invoering van de WWB worden gebruikt 
Gemeenten kunnen deze ketenberichten vervolgens inlezen in eigen applicaties. 

De inspectie heeft gemerkt dat voor gemeenten de begrippen (zoals GeVS, Suwinet, 
Suwinet-Inlezen en DKD-Inlezen) niet altijd duidelijk zijn. Dat heeft mede te maken 
met het technische karakter. 

Kennis van deze begrippen is van belang omdat ook aan Suwinet-Inlezen en DKD- 
Inlezen risico's ten aanzien van oneigenlijk gebruik of misbruik zijn verbonden. 


4.2 Logging 

Het BKWI heeft een wettelijke verplichting gegevens te loggen waarmee het gebruik 
van Suwinet-Inkijk per medewerker van onder andere de Gemeentelijke Sociale 
Diensten kan worden nagegaan. Het is echter geen verantwoordelijkheid van het BKWI 
om deze gegevens te analyseren of het gebruik te controleren. Deze verantwoordelijk¬ 
heid ligt uitsluitend bij de gemeente. 

Door een binnen de gemeente geautoriseerde medewerker kunnen zogenaamde 
generieke rapportages bij het BKWI worden opgevraagd. Deze bevatten geen 
persoonsgegevens of gegevens die herleidbaar zijn tot individuele medewerkers. 

Ten aanzien van het hierboven genoemde Suwinet-Inlezen zijn de mogelijkheden van 
BKWI beperkter. BKWI kan ten aanzien van inlezen alleen signaleren welke gegevens 
er door een gemeente zijn geraadpleegd. Er is geen informatie over de autorisatie- 
structuur met betrekking tot Suwinet-Inlezen of het specifieke IP-adres dat het ge¬ 
geven heeft geraadpleegd. 


Bijdrage Elektronische verstrekkingen via de GeVS een overzicht, werkgroep 3, 5 maart 2015 
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Reactie van de gemeenten op het onderzoek 


Alle 108 9 gemeenten hebben uiterlijk begin februari 2015 een conceptrapportage van 
bevindingen ontvangen. Deze rapportage beschrijft per norm de uitkomst: akkoord dan 
wel niet akkoord en bevat een toelichtende onderbouwing voor de normen die onvol¬ 
doende scoren. Gemeenten hebben vervolgens begin maart 2015 een definitieve 
rapportage van bevindingen ontvangen. 

70 gemeenten hebben gereageerd op de conceptrapportage van bevindingen. 

Van deze 70 gemeenten zijn er 30 akkoord met de constateringen zoals beschreven in 
de conceptrapportage van bevindingen. 

Van de 70 gemeenten zijn er 20 die specifieke verbetermaatregelen aankondigen. 
Meestal betreft het de afronding/formele vaststelling van het informatiebeveiligings- 
beleid en/of plan na 1 september 2014. Een aantal gemeenten geeft aan dat men actie 
gaat ondernemen op de normen waar men een onvoldoende op scoort. 

Inhoudelijke opmerkingen 

De Inspectie SZW heeft naar aanleiding van de opmerkingen van zestien gemeenten 
op de concept rapportage de scores bijgesteld. In nagenoeg alle gevallen betrof dit 
een positieve bijstelling op één norm. In de helft van de gevallen betrof het een 
bijstelling met betrekking tot norm 13.5 (controle op verleende toegangsrechten). 

Drie gemeenten (één uitvoeringsorganisatie) signaleren terecht dat de onderzoeks¬ 
periode is vervroegd van voorjaar 2015 naar najaar 2014. Dit is gebeurd op verzoek 
van de staatssecretaris. Dit laat echter onverlet dat het eisen betreft waaraan al sinds 
2002 voldaan dient te worden. 

Zes gemeenten wijzen op het formele karakter van de beoordeling. Zij geven terecht 
aan dat daardoor geen rekening wordt gehouden met het feit dat binnen sommige 
gemeenten zaken informeel plaatsvinden. De Inspectie SZW heeft geen gemeenten 
bezocht. Het gehele onderzoek is - net als in 2013 - uitgevoerd op basis van schrif¬ 
telijke vastleggingen. Aanname is dat altijd iets op papier is terug te vinden van de 
uitgevoerde activiteiten. Aangezien het vooral de kleinere gemeenten waren die deze 
reactie gaven heeft de Inspectie SZW aanvullend onderzocht of er een verschil is in 
score tussen grote en kleine gemeenten en tussen gemeenten die al dan niet in ISD- 
verband samenwerken. De uitkomsten hiervan zijn beschreven in hoofdstuk 3.6. 

Van de gemeenten die opmerkingen hebben gemaakt over de normen betreft dit het 
vaakst norm 13.5 (controle op verleende toegangsrechten). Bij deze norm heeft de 
Inspectie SZW gekeken of er een procedure bestaat en of er een voorbeeld van een 
beoordelingsrapportage van de uitvoering kan worden opgeleverd. Tevens heeft de 
Inspectie SZW gevraagd of er specifieke zaken (opvallend zoekgedrag) zijn opgevallen. 
Dit opvallend zoekgedrag heeft de Inspectie SZW afgeleid van de generieke rapportage 
en rapportages die de Inspectie SZW op verzoek heeft aangevraagd bij BKWI. 

Diverse gemeenten geven aan dat het beoordelen van alleen de BKWI-rapportages 
voldoende is. In het rapport is op deze opvatting nader ingegaan. 


9 De facto 107 gemeenten, Schoonhoven en Bergambacht vormen samen met enkele andere gemeenten vanaf 1 januari 
2015 de gemeente Krimpenerwaard. 
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De reactie dat de beoordeling van de Inspectie SZW naast een tweetal procedurele 
normen ook een inhoudelijke component kent is terecht. Overigens geldt voor het 
merendeel van de gemeenten dat een rapportage ontbreekt. 

Een aantal gemeenten geeft aan dat de Inspectie SZW te weinig rekening heeft 
gehouden met diverse documenten die recent (na 1 september 2014) formeel van 
kracht zijn. Voor het onderzoek is 1 september 2014 het meetmoment. De Inspectie 
SZW heeft daarbij een zekere coulance betracht. Daarbij was het wel noodzakelijk dat 
aangetoond kon worden dat voor 1 september 2014 de zaken bekend waren en werd 
gewerkt volgens de beschreven werkwijze. 

Gemeenten hebben in hun reactie een aantal redenen gegeven waarom men nog niet 
voldeed aan de norm. Meest genoemd daarbij is de decentralisatieoperatie die veel tijd 
en aandacht vraagt. Een kleinere groep gemeenten verwees naar gemeentelijke fusies 
die spelen. 
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6 Bestuurlijke reacties - naschrift Inspectie 


Samenvatting algemeen 

Alle organisaties maken een opmerking over het feit dat de Inspectie alleen heeft 
gekeken naar het centrale deel van de Gezamenlijke elektronische voorziening SUWI 
(GeVS) en daarbinnen met name naar Suwinet-Inkijk. 

Naschrift reactie Inspectie SZW 

De opmerking van de organisaties dat niet is gekeken naar het decentrale deel GeVS is 
correct. Ook in het vorige onderzoek viel dit buiten de scope. Dit betekent automatisch 
dat DKD-Inlezen buiten beeld is gebleven. DKD-Inlezen wordt gefaciliteerd door het 
Inlichtingenbureau en meer dan 100 gemeenten maken gebruik van deze dienst. 
Overigens ook hier is veilig gebruik van gegevens aan de orde. 

Ook ten aanzien van het centrale deel van GeVS is de Inspectie selectief geweest. Alle 
beperkingen van het onderzoek zijn in het eerste hoofdstuk van het rapport 
beschreven. 


Samenvatting algemeen 

Alle organisaties onderschrijven het belang van het onderwerp en geven aan een 
bijdrage te willen leveren via het opdrachtgeversberaad (programmaplan 'borging 
veilige gegevensuitwisseling Suwinet'). 

Naschrift reactie Inspectie SZW 

Door het opdrachtgeversberaad zijn diverse maatregelen gestart. Deze maatregelen 
leveren een positieve bijdrage aan een veilig gebruik van gegevens. Het beraad be¬ 
staat uit verschillende organisaties, elk met hun eigen doelstellingen, maar heeft geen 
doorzettingsmacht. 

Het is van belang te benadrukken dat de resultaten worden geboekt door het 
management en de uitvoerders in elke individuele gemeente (samenwerkingsverband). 


Samenvatting reactie IB en UWV 

IB en UWV maken een opmerking over de verhouding met gemeenten. 

UWV geeft aan dat het geen verantwoordelijkheid is van BKWI om gegevens te 
analyseren of het gebruik te controleren. 

Ook het IB benadrukt dat zij opereren vanuit een adviserend perspectief en niet als 
controleur. 

Naschrift reactie Inspectie SZW 

Het is aan de gemeenten om een veilig gebruik van gegevens te borgen. De diensten 
en producten van BKWI en IB kunnen daarbij helpen. De kennis van (account¬ 
managers) BKWI en IB op dit terrein is veelal veel groter dan de kennis van een 
individuele gemeente. 

Het is van belang ondanks dit soms grote kennisverschil de verantwoordelijkheid te 
laten liggen bij gemeenten. 
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Samenvatting reactie UWV 

UWV geeft aan dat Suwinet-Inkijk geen gegevens bevat. 

Naschrift reactie Inspectie SZW 

Deze opmerking is terecht. Suwinet is een elektronische voorziening voor 
gegevensuitwisseling. Suwinet-Inkijk is daarbinnen een specifieke service. 


Samenvatting reactie VNG 

De VNG geeft aan het op prijs te stellen om na afloop van het onderzoek gezamenlijk 
op te trekken. De uitkomsten zijn verbeterd ten opzichte van het onderzoek in 2013, 
maar de 17% van de gemeenten die nu voldoet leidt nog niet tot volle tevredenheid. 
De VNG gaat verder in op een aantal specifieke punten zoals het verzoek aan het rijk 
om het initiatief te nemen voor een wettelijke verankering verantwoordingsplicht ge¬ 
meenten en aandacht voor samenwerkingsverbanden en autorisaties. 

Naschrift reactie Inspectie SZW 

De Inspectie vindt het van belang om een zo effectief mogelijke bijdrage te leveren 
aan het realiseren van haar missie. Vanuit SZW wordt in het kader van de escalatie 
ook aandacht gevraagd voor de verantwoording specifiek op het terrein van Suwinet. 
Het is positief dat door de VNG, aanvullend op het programmaplan, diverse andere 
acties worden uitgevoerd. 
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Bijlagen 
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Inlichtingenbureau 


Inspectie SZW 

Ministerie van Sociale Zaken en Werkgelegenheid 
T.a.v. mr. J.A. van den Bos, Inspecteur Generaal SZW 
Postbus 90801 
2509 LV Den Haag 


Telefoon 088 751 37 00 
www.inlichtingenbureau.nl 


St. Jacobsstraat 400-420 
3511 BT Utrecht 
Postbus 19247 
3501 DE Utrecht 


Betreft : Suwinet "veilig omgaan met elkaar gegevens' 
Uw kenmerk : d.d. 19 maart 2015 
Ons kenmerk: IB15-95 
Bijlage(n) : 

Datum : 1 april 2015 


Geachte heer Van den Bos, 

Namens Stichting Inlichtingenbureau (IB) voldoe ik gaarne aan uw verzoek om te reageren op de 
conclusies en het oordeel zoals geformuleerd in het rapport Suwinet 'veilig omgaan met eikaars 
gegevens'. 

Uit uw onderzoek blijkt dat gemeenten in de praktijk (nog steeds) in onvoldoende mate invulling geven 
aan een aantal essentiële normen op het gebied van informatiebeveiliging. Stichting Inlichtingenbureau 
onderschrijft volledig de noodzaak voor alle ketenpartijen om zich te houden aan het toepasselijk 
normenkader op het gebied van privacybescherming en informatiebeveiliging. 

In uw onderzoek maakt u melding van diverse inspanningen van ketenpartijen om tot verbetering te 
komen. IB is hierbij betrokken en levert hieraan een bijdrage. Ook in meer algemene zin besteedt het IB in 
de contacten met gemeenten structureel aandacht aan (het belang van) privacybescherming en 
informatiebeveiliging. Zo bespreken onze accountmanagers in hun contacten met ambtenaren van 
gemeenten standaard de wijze van invulling van de normen waarop ook door uw Inspectie is getoetst. 

Het onderzoek had uitsluitend betrekking op het centrale deel van de Gezamenlijke elektronische 
voorzieningen SUWI (GeVS). Daarmee raakt het niet direct de dienstverlening die Stichting 
Inlichtingenbureau levert als decentrale GeVS-broker voor gemeenten. Uw signaal dat gemeenten 
onvoldoende bekend zijn met de verschillen tussen infrastructuren zoals GeVS en Suwinet en 
ketenservices zoals Suwinet-lnlezen en DKD-Inlezen pakt het Inlichtingenbureau graag op. Kennis van de 
infrastructuur waarvan gemeenten gebruik maken en de services die daarover worden geleverd heeft - 
zoals u terecht constateert - een belangrijke doorwerking naar (toepassing van) de beveiliging van 
persoonsgegevens. Wij trekken dit graag breder dan alleen het gebruik van Suwinet-lnkijk. Zowel in ons 
komende (concept)jaarplan als in de directe communicatie met gemeenten zullen wij expliciet aandacht 
besteden aan de zogenoemde stelselverantwoordelijkheid. Een goede invulling van deze 
stelselverantwoordelijkheid kan veel bijdragen aan het goed functioneren van een informatieketen. 
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In het algemeen is voor het functioneren van een gegevensketen van groot belang dat alle partners 
beschikken over een eenduidige kenbare instructie die misverstanden en misbruik in het licht van 
privacy en beveiliging uitsluit. Hier ligt een taak voor de stelselverantwoordelijke. IB wil daaraan - op 
basis van de beschikbare expertise - graag een bijdrage blijven leveren. 

Zoals hierboven reeds opgemerkt onderschrijven wij volledig de noodzaak voor alle ketenpartijen om 
zich te houden aan het toepasselijk normenkader op het gebied van privacybescherming en 
informatiebeveiliging. Dat geldt niet alleen bij het gebruik van Suwinet-lnkijk, maar ook bij het 
gebruik van decentrale ketenservices zoals de verwerking van via IB gerouteerde DKD-berichten die 
door gemeenten worden ingelezen in eigen applicaties of bij het gebruik van via het IB beschikbaar 
gestelde knooppuntdiensten ter ondersteuning van gemeentelijke werkprocessen ter uitvoering van 
de nieuwe taken als gevolg van de decentralisaties. Daarbij moet echter wel worden opgemerkt dat 
wij ons tot gemeenten richten vanuit een adviserend perspectief en dus niet als controleur of 
toezichthouder. Daarvoor zijn zowel uw Inspectie als het College bescherming persoonsgegevens de 
aangewezen instanties. 

Wij hopen in goede samenwerking met zowel gemeenten, toezichthouders en andere ketenpartijen 
een positieve bijdrage te kunnen blijven leveren aan een rechtmatige en veilige verwerking van 
persoonsgegevens in gemeentelijk ketenverband. 


Met vriendelijke groet, 



Drs. R. de Groot 

Voorzitter bestuur Stichting Inlichtingenbureau 
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Onderwerp 

Bestuurlijke reactie Rapport Suwinet 'Veilig omgaan met eikaars 
gegevens' 


Geachte heer van den Bos, 

Met uw brief van 19 maart 2015 heeft u ons de concept rapportage Suwinet 'Veilig omgaan 
met eikaars gegevens' toegezonden met het verzoek hier bestuurlijk op te reageren. 

Het betreft een vervolgonderzoek naar de beveiliging van Suwinet-inkijk bij gemeenten, naar 
aanleiding van het rapport 'De burger bediend' uit 2013. 

Het rapport ziet primair toe op het gebruik van gegevens door gemeenten en bevat 
daarnaast een aantal bevindingen over Suwinet. UWV is - via BKWI - verantwoordelijk voor 
hetbeheervan Suwinet. 

De bestuurlijke reactie van UWV heeft betrekking op die onderdelen van het rapport waar 
het UWV raakt als verantwoordelijke voor het beheer van Suwinet. 

Vervolgonderzoek bij gemeenten 

UWV heeft kennis genomen van het oordeel van de Inspectie dat er een significante 
verbetering is optreden van de beveiliging van Suwinet-inkijk bij gemeenten ten opzichte 
van het onderzoek in 2013. Deze verbetering is echter nog onvoldoende om te kunnen 
spreken van een adequaat beveiligingsniveau. Wij realiseren ons dat er nog de nodige 
verbeterslagen moeten worden gerealiseerd. Gemeenten zullen hier hun 
verantwoordelijkheid in moeten nemen. Daarnaast geven VNG, SVB en UWV gezamenlijk 
uitvoering aan het programmaplan 'Berging veilige gegevensuitwisseling via Suwinet'. De 
partijen hebben vertrouwen dat met de uitvoering van dit programmaplan, de uitwisseling en 
het gebruik van gegevens via Suwinet veiliger en beter wordt. De uitkomsten van het 
onderzoek van de Inspectie worden meegenomen in de verdere uitwerking van het 
programmaplan. 

Suwinet-inkijk 

Om een juist beeld van Suwinet-inkijk te geven, is het van belang te melden dat via 
Suwinet-inkijk gegevens van verschillende bronhouders toegankelijk worden gemaakt voor 
afnemende partijen. In het rapport wordt Suwinet-inkijk meerdere malen geassocieerd met 
een systeem dat gegevens bevat. Dit is nietjuist. Suwinet-inkijk bevat geen gegevens. 

Suwinet-in/ezen 

Naast het vervolgonderzoek over de beveiliging van Suwinet-inkijk bij gemeenten, 
rapporteert de Inspectie in het rapport over de onbekendheid van gemeenten met de 
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functionaliteit Suwinet-inlezen. In het rapport wordt gesteld dat slechts één gemeente 
gebruik maakt van Suwinet-inlezen. In deze beschrijving ontbreekt het inlezen van gegevens 
- door circa 100 gemeenten -voor de uitvoering van de Participatiewet, de IOAW en IOAZ. 
De toegang tot deze inleesfunctionaliteit wordt door het Inlichtingenbureau verzorgd. 

Zienswijze verantwoordelijkheden 

Met instemming hebben wij kennis genomen van de zienswijze van de Inspectie over de 
verantwoordelijkheden bij het loggen van gegevens. BKWI heeft een wettelijke verplichting 
om gegevens te loggen waarmee het gebruik van Suwinet-inkijk per medewerker van een 
afnemende partij kan worden nagegaan. Het is echter geen verantwoordelijkheid van BKWI 
om deze gegevens te analyseren of het gebruik te controleren. Deze verantwoordelijkheid 
ligt bij de afnemende partij, in dit geval gemeenten. De Inspectie geeft aan dat gemeenten 
hun eigen verantwoordelijkheden hierin te licht opvatten. 

Indien gemeenten hierbij ondersteuning behoeven, kunnen zij dit aangeven. Dit gebeurt ook. 
Zo zijn de gebruiksrapportages voor gemeenten onlangs aangepast naar aanleiding van de 
wensen die VNG bij gemeenten heeft geïnventariseerd. BKWI heeft VNG hierbij ondersteund 
en heeft de rapportages vervolgens aangepast. 

Het blijft echter de verantwoordelijkheid van de afnemende partij zelf om een veilig gebruik 
van gegevens te borgen. Bij de uitwerking van het eerder genoemde programmaplan wordt 
aandacht besteed aan de bewustwording bij de verschillende partijen - bronhouder, 
intermediair en afnemer - van de verantwoordelijkheden die zij hierin dragen. 

Zoals hierboven aangegeven, nemen wij de bevindingen van de Inspectie mee in de verdere 
uitwerking van het Programmaplan 'Berging veilige gegevensuitwisseling via Suwinet’. 
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Vrijdag 20 maart ontvingen wij bovengenoemde rapportage en namen hiervan kennis. Hierbij ontvangt 
u onze bestuurlijke reactie toekomen die bestaat uit een algemeen deel en specifieke punten. 

Algemene reactie 

Gezamenlijk optrekken bij adviesvragen gemeenten 

VNG vindt veilig gebruik van SUWI-net door gemeenten zeer belangrijk Uw Inspectie stelt zich 
coöperatief op ten aanzien van adviseren van gemeenten na afloop van het onderzoek. Dat heeft onze 
waardering en hierin willen wij graag gezamenlijk optrekken. Het gaat om het beantwoorden van 
openstaande vragen, verzoeken om pre-audits en het bezoeken van enkele gemeenten 

Uw oordeel 

De VNG is van mening dat uw oordeel (4% van de gemeenten van de steekproef 2013 voldoet aan de 
7 onderzochte normen, 17% van de steekproef 2015 voldoet aan de 7 onderzochte normen) niet kan 
leiden tot volle tevredenheid Dit ondanks een verbetering ten opzicht van 2013 De VNG zal daarom 
haar verbeterplan - primair gericht op gemeenten als gebruikersorganisaties - continueren. In de 
bijlage hebben wij een overzicht weergegeven van recente en toekomstige activiteiten (sinds oktober 
2014) In het verbeterplan zijn het generieke en het specifieke verbetertraject geïntegreerd Ook zal de 
VNG via het opdrachtgeversberaad BKWI een actieve bijdrage blijven leveren aan de uitvoering van 
het gezamenlijk met UWV en SVB tot stand gebrachte programmaplan 'Borging veilige 
gegevenswisseling Suwi-nef Dit is primair gericht op het veiliger maken van gegevenswisseling en - 
gebruik via Suwi-net. 
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Verbeterjaar 2014 

Wij zijn teleurgesteld dat het verbeterjaar 2014 dat gemeenten oorspronkelijk gegund was, onder druk 
van de Tweede Kamer is teruggebracht tot een halfjaar. Van een aantal steekproefgemeenten is ons 
bekend dat zij hun verbetertraject (grotendeels) hebben afgerond in de tweede helft van 2014. Uw 
onderzoekers waren tijdstechnisch niet meer in de gelegenheid om de eindresultaten van deze lokale 
verbetertrajecten te betrekken bij het uiteindelijke oordeel. Dat vinden wij jammer. 

Specifieke punten 

Naast de bovenstaande algemene reactie gaan wij nog in op de onderstaande specifieke punten. 

1. Wettelijke verankering verantwoordingsplicht gemeenten . Nogmaals wil VNG erop wijzen dat 
een wettelijke verankering van de verantwoordingsplicht van gemeenten kan bijdragen aan 
een sluitend systeem van checks and balances. Wij verzoeken het rijk om hierop initiatief te 
nemen. 

2. Aandacht voor samenwerkingsverbanden en inkooprelaties . U signaleert in uw onderzoek dat 
het voor samenwerkende gemeenten extra complex is om aan de normen te voldoen. Wij zien 
dit als een zorgpunt en hebben hierop actie genomen (zie de bijlage). Mogelijk volgen in de 
toekomst nog meer acties. 

3. Speciale aandacht voor autorisaties en controle op autorisaties en opvraaqqedraq . VNG merkt 
op dat van de onderzochte normen het autorisatiebeheer en de controle op autorisaties en 
opvraaggedrag het minst goed uit het onderzoek naar voren komen. VNG benadrukt dat bij het 
uitvoeren van het programma ‘Borging veilige gegevenswisseling suwi-net’ autorisatiebeheer 
gericht is opgepakt. Binnenkort worden hier de resultaten van verwacht. Daarnaast zijn de 
gebruikersrapportages voor de sociale diensten aangepast aan gebruikerswensen en is de 
nieuwe versie veelvuldig onder de aandacht gebracht. Een groot deel van deze 
werkzaamheden vond echter plaats na de onderzochte periode. Op dit moment passen 
gemeenten deze gebruikersrapportages toe in hun werkprocessen. Kortom, na de 
onderzoeksperiode zal de verbeterslag op dit punt mogelijk groter zijn dan tijdens. 

4. Suwi-net inlezen vs. DKD-inlezen . Op pagina 15 van de rapportage staat vermeld ‘Suwi-net- 
Inlezen biedt de mogelijkheid om gegevens van andere overheidsorganisaties direct in 
bedrijfsapplicaties in te lezen en voor in te vullen in e-formulieren. Op dit moment maakt maar 
één gemeente gebruik van Suwinet-lnlezen.’ Dit is een correcte passage, maar deze zou in 
onze beleving aangevuld moeten worden met een passage over DKD-inlezen. Deze faciliteit 
biedt gemeenten de mogelijkheid om gegevens van andere Suwi-partijen op een vergelijkbare 
manier in te lezen. Van DKD-inlezen maken 107 gemeenten gebruik. Het Inlichtingenbureau 
(IB) faciliteert Suwi-net Inlezen. Gemeenten tekenen voor een correct gebruik van dit 
instrument via een door het college gemandateerd persoon. 

5. Fors minder opvraqinqen bekende Nederlanders . Het opvragen van bekende Nederlanders is 
onacceptabel. De VNG is verheugd met het feit dat het raadplegen van bekende Nederlanders 
fors is teruggedrongen tot een heel laag aantal. Uiteraard is het de bedoeling om dit soort 
raadplegingen geheel en al uit te bannen. 

Kortom, VNG blijft gemeenten faciliteren om door te gaan op het ingezette verbeterpad. 

Hoogachtend, 

Vereniging van Nederlandse Gemeenten 
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Bijlage extra activiteiten 


Door de VNG sinds de start van het programma (oktober 2014) genomen acties gericht op veiliger 
gegevenswisseling via Suwinet naast programma ‘Borging veilige gegevenswisseling suwinet’. 

Eén op één benadering 

Gezamenlijk met de Taskforce BID en KING is in kaart gebracht van welke gemeente nog geen beeld 
bestond ten aanzien van de lokale aanpak op informatiebeveiliging. Hierbij is gekeken naar het invullen 
van gegevens voor een nulmeting informatieveiligheid op www.waarstaatieqemeente.nl (zie hieronder), 
contactpersonen geregistreerd hebben staan bij de Informatie Beveiligingsdienst voor Gemeenten (in 
opdracht van de VNG ondergebracht bij KING), het invullen van de 0-meting van de VNG-ledenpeiling 
over de suwi-zelftest, een suwi-voorlichtingbijeenkomst bezoeken of een suwi-net gerelateerde vraag 
stellen aan de VNG-frontoffice. 50 gemeenten waarvan geen goed beeld bestond zijn benaderd voor 
een bestuurlijk gesprek met Ad Koppejan (oud-Kamerlid) en Edo Haan (oud-wethouder Zoetermeer). 
Bij vrijwel alle betreffende gemeenten heeft dit tot een gesprek geleid waarin concrete verbeteracties 
zijn afgesproken. 

Realisatie visitatiecommissie informatieveiligheid 

In de resolutie “Informatieveiligheid, randvoorwaarde voor een professionele gemeente” die met bijna 
95% van de stemmen is aangenomen tijdens de BALV van 2013 hebben gemeenten aangegeven 
werk te zullen maken van het borgen van informatieveiligheid binnen de gemeenten. Als onderdeel van 
deze resolutie hebben gemeenten gevraagd om een bestuurlijke visitatiecommissie 
informatieveiligheid. De visitatiecommissie wordt op dit moment door de VNG, als bestuurlijk 
leerinstrument ingericht en zal de komende twee jaar met gemeenten het gesprek over 
informatieveiligheid aangaan. Dit doet de commissie in een breed gesprek met zowel 
gemeentebestuur als organisatie als mogelijk ook raadsleden. De kennis uit en werkwijze van de 
bovengenoemde één op één aanpak wordt hierbij meegenomen. 

Voorlichtingenreeks KING / IBD en VNG / Sociaal Domein 

De Informatiebeveiligingsdienst en het Expertisecentrum Sociaal Domein zijn het laatste kwartaal van 
2014 gezamenlijk het land in te gaan om gemeenten voor te lichten over hoe de BIG en de Suwi- 
normen in goede samenhang te implementeren. Hiertoe is ook een factsheet verschenen, zie 
http://www.vnq.nl/files/vnq/20141127-suwi-biq-ibd.pdf 

Monitoring informatieveiligheid via www.waarstaatieqemeente.nl 

Met de resolutie hebben gemeenten aangegeven transparant te zullen zijn over informatieveiligheid. 
Concreet is afgesproken dat zij dit doen door middel van www.waarstaatieqemeente.nl . De vragen 
richten zich op de afspraken in de resolutie. Een van de vragen is of gemeenten 
informatiebeveiligingsbeleid hebben dat is gebaseerd op de BIG. 

Ondertekening convenanten door ambtelijke beroepsorganisaties 

Op initiatief van VNG en KING is een convenant opgesteld waarmee verschillende ambtelijke 
beroepsorganisaties zoals de VGS, VDP en NVvB hebben aangegeven dat zij informatieveiligheid en 
de realisatie van de afspraken uit de resolutie willen borgen. Dit convenant is op 12 februari jl. 
ondertekend, zie http://www.vnq.nl/onderwerpenindex/dienstverleninq-en- 

informatiebeleid/informatieveiliqheid/nieuws/convenant-informatieveiliqheid-qemeenten-ondertekend 


VNG Postbus 30435. 2500 GK Den Haaa Tel 070-373 83 93 www.vnq.nl 


03 



Handreiking voor gemeentesecretarissen en intergemeentelijke samenwerkingsverbanden 

Binnenkort verschijnt een handreiking voor gemeentesecretarissen en directeuren van 
intergemeentelijke samenwerkingsverbanden over hoe de verantwoordelijkheden met betrekking tot 
informatiebeveiliging goed te verdelen en dit goed in te regelen in een jaarcyclus. Dit sluit aan op de 
bevindingen van de Inspectie SZW, zowel 0- als 1-meting. 

Diverse berichtgeving aan gemeenteraden via de VNG-raadsledennieuwsbrief 

De VNG brengt periodiek de VNG-raadsledennieuwsbrief uit. In vrijwel elke editie is een item gewijd 
aan informatiebeveiliging en privacy. Bijvoorbeeld om de activiteiten die in dit overzicht genoemd 
worden, onder de aandacht te brengen. Met name met betrekking tot de zelftest is aangegeven dat dit 
een concrete aanleiding kan zijn om raadsvragen te stellen. 

1-meting zelftest 

In de eerste twee maanden is de VNG-leden peiling inzake de zelftest Suwi-net verricht. Net als bij het 
onderzoek van de Inspectie SZW betrof dit een 1-meting. Dit heeft gemeenten een (extra) stimulans 
gegeven om de zelftest weer te verrichten en opnieuw scherp te krijgen aan welke mogelijke 
verbeterpunten nog gewerkt moet worden. Binnen nu en enkele weken is de analyse hierop gereed. 

Vernieuwde GSD-rapportage verschenen inclusief handreiking en voorlichtingsbijeenkomsten 

In november verscheen de eindversie van de vernieuwde GSD-gebruikersrapportages waarmee intern 
controleurs van de gemeente na kunnen gaan of het opvragen van gegevens conform voorschriften 
verliep. In mei en juni zijn over een voorlaatste versie al voorlichtingsbijeenkomsten georganiseerd. 
Voor optimaal en efficiënt gebruik van de rapportage heeft de VNG een handreiking tot stand gebracht: 
http://www.vnq.nl/files/vnq/20140612-qebruikersrapportaqes-suwinet.pdf 

Gemeenten attenderen op BKWI-bureaukalender met tips voor veilig gebruik van suwinet 

Via een webbericht op www.vnq.nl heeft VNG reclame gemaakt voor de BKWI-bureaukalender. Deze 
is veelvuldig besteld. 
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Bijlage 2 Overzicht verbetermaatregelen Suwinet 

Door het Ministerie van SZW zijn per brief van 5 februari 2015 diverse verbeter¬ 
maatregelen aangekondigd. 

1 Aanpak informatieveiligheid overheden: 

Door aanname van de Resolutie 'Informatieveiligheid, randvoorwaarde voor de 
professionele gemeente' geven gemeenten aan dat zij verder werken aan informatie¬ 
veiligheid, onder andere door de zogenoemde Baseline Informatiebeveiliging 
Nederlandse Gemeenten uit te voeren. Samen met de minister van BZK en de VNG 
wordt gewerkt aan de inrichting van een verantwoording informatiebeveiliging voor 
gemeenten waar de verantwoording over het Suwinet onderdeel van is. 

2 Aanpak verbetering gebruik Suwinet bij gemeenten: 

Voorliggend onderzoek is aangekondigd voor april 2015. 

3 Programma 'Borging veilige gegevensuitwisseling via Suwinet': 

Per brief van 8 november 2013 kondigde de staatssecretaris een privacy impact 
assessment naar het Suwinet aan. Dit omvat het wettelijk kader voor de gegevens¬ 
uitwisseling via Suwinet evenals de keten die loopt van de aanlevering van gegevens 
door bronleveranciers, het transporteren van gegevens naar afnemers tot en met het 
gebruik van de gegevens door afnemers. De uitkomst is dat in de afgelopen jaren een 
aantal samenhangende kwetsbaarheden is ontstaan die elkaar op een negatieve 
manier beïnvloeden en daarmee tot privacyrisico's leiden. 

UWV, SVB en VNG hebben op verzoek aangegeven welke maatregelen zij gaan treffen. 
Hieronder zal nader worden ingegaan op dit Programma. 

4 Toekomstverkenning gegevensuitwisseling : 

Samen met UWV, SVB, VNG en het Inlichtingenbureau is gestart met de verkenning 
van een toekomstbeeld voor gegevensuitwisseling. Wet- en regelgeving SUWI be¬ 
treffende gegevensverwerking en -uitwisseling wordt herijkt aan de toenemende 
gegevensuitwisseling tussen beleidsterreinen. Vertrekpunt is wetswijziging in 2016, na 
de evaluatie van de wet SUWI in 2015. Wet- en regelgeving kan echter eerder wijzigen 
als dit randvoorwaardelijk is voor de maatregelen van het programma "Borging veilige 
gegevensuitwisseling via Suwinet". 

Programmaplan "Borging veilige gegevensuitwisseling via Suwinet" 

Per brief van 7 oktober 2014 is het programmaplan aan de minister en staatssecretaris 
aangeboden. Het betreft een gezamenlijk programmaplan van UWV, SVB, en VNG 
(Opdrachtgeversberaad) uit hoofde van hun verantwoordelijkheid voorde instand¬ 
houding van Suwinet en van UWV/BKWI als verantwoordelijke voor het beheer van 
Suwinet. Dit beraad heeft geen formele doorzettingsmacht. 

De maatregelen die de Suwi-partijen nemen zijn geordend naar de mate van prioriteit 
en de volgtijdelijkheid van de maatregelen. De maatregelen zijn daartoe in vier 
categorieën onderverdeeld. De Suwi-partijen hebben vertrouwen dat met de hierna 
beschreven maatregelen het uitwisselen en gebruik van gegevens via Suwinet veiliger 
en beter wordt. 
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Categorie 1: Prioritaire maatregelen randvoorwaardelijk voor categorie 4 

1. Ontwikkeling en invoering van een meer fijnmazige autorisatiestructuur bij 
gemeenten. 

2. Verbetering logging en gebruiksrapportages 

Categorie 2: Prioritaire maatregelen meteen meer autonoom karakter 

3. Ontwikkeling en vaststelling aansluitvoorwaarden en gebruiksvoorwaarden 
Suwinet-inlezen 

4. Ketenbrede awareness-campagne 

Categorie 3: Onderzoeksmaatregelen die duiden of en hoe richtlijnen en beleid 
aanpassing behoeven 

5. Beleid inzake misbruik van gegevens door medewerkers 

6. Herijking normenkader en verantwoordingsrichtlijn Suwi in het licht van BIR/BIG 

7. Telewerken en doorlevering van gegevens 

Categorie 4: Vervolgmaatregelen op maatregelen categorie 1 

8. Beperking zoekmogelijkheden in Suwinet-Inkijk 

9. Beperking toegang Suwinet tot personen relevant voor werkzaamheden 
medewerker 

10. Analyse van gegevens van bepaalde risicoklassen 

De maatregelen waarvoor de Suwi-partijen het Ministerie van SZW vragen om het 
initiatief te nemen zijn: 

11. Herijken van wet- en regelgeving SUWI 

12. Levering van informatie in plaats van gegevens 

13. Transparantie naar de burger 

14. Afsluitbeleid 
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Bijlage 3 Overzicht bevindingen gemeenten (78) 


Gemeente 

Norm 

1.3 

Norm 

1.4 

Norm 

1.5 

Norm 

2.2 

Norm 

2.3 

Norm 

13.1 

Norm 

13.5 

Aantal normen 
Voldoende 

Aalten 

X 

X 

X 

X 


X 


5 

Alblasserdam 

X 

X 

X 

X 


X 

X 

6 

Albrandswaard 

X 

X 

X 

X 


X 


5 

Alkmaar 








0 

Assen 

X 

X 

X 

X 

X 

X 

X 

7 

Baarle-Nassau 








0 

Barendrecht 

X 

X 

X 

X 


X 


5 

Binnenmaas 

X 

X 

X 

X 

X 

X 

X 

7 

Blaricum 

X 

X 


X 

X 

X 


5 

Boekel 

X 

X 

X 

X 

X 

X 

X 

7 

Boxmeer 

X 

X 

X 

X 




4 

Breda 

X 

X 

X 

X 

X 

X 

X 

7 

Brielle 








0 

Brummen 








0 

Bunnik 

X 







1 

Buren 

X 

X 




X 

X 

4 

Cranendonck 




X 

X 

X 

X 

4 

Dantumadiel 

X 

X 

X 

X 


X 


5 

Den Haag 

X 

X 


X 

X 



4 

Deurne 

X 

X 


X 

X 



4 

Deventer 

X 


X 

X 



X 

4 

Dinkelland 




X 

X 

X 

X 

4 

Ede 

X 

X 




X 


3 

Geldrop-Mierlo 

X 

X 


X 

X 



4 

Giessenlanden 

X 

X 

X 

X 

X 


X 

6 

Groesbeek 

X 

X 

X 

X 




4 

Heemskerk 

X 

X 






2 

Heemstede 

X 

X 

X 

X 

X 

X 

X 

7 

Heerenveen 








0 

Helmond 

X 

X 


X 

X 



4 

Hendrik-ldo-Ambacht 

X 

X 

X 

X 


X 

X 

6 

Het Bildt 

X 

X 

X 

X 

X 

X 


6 

Heumen 

X 





X 


2 

Hof van Twente 

X 







1 

Houten 

X 

X 

X 

X 

X 

X 

X 

7 
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Gemeente 

Norm 

1.3 

Norm 

1.4 

Norm 

1.5 

Norm 

2.2 

Norm 

2.3 

Norm 

13.1 

Norm 

13.5 

Aantal normen 
Voldoende 

Kampen 

X 

X 


X 


X 

X 

5 

Krimpen aan den IJssel 

X 







1 

Laren 

X 

X 


X 

X 

X 


5 

Leek 

X 

X 

X 

X 

X 

X 

X 

7 

Lelystad 

X 

X 


X 

X 

X 

X 

6 

Leusden 

X 

X 


X 

X 

X 

X 

6 

Lingewaard 


X 






1 

Meerssen 




X 




1 

Molenwaard 

X 

X 

X 

X 

X 


X 

6 

Nieuwkoop 

X 

X 

X 

X 

X 

X 


6 

Noordwijkerhout 

X 

X 


X 


X 


4 

Oisterwijk 

X 


X 





2 

Oldebroek 

X 


X 

X 

X 

X 

X 

6 

Ommen 




X 


X 


2 

Papendrecht 

X 

X 

X 

X 


X 

X 

6 

Reusel-De Mierden 

X 

X 

X 

X 

X 

X 

X 

7 

Rheden 

X 

X 

X 

X 

X 



5 

Rhenen 

X 







1 

Roerdalen 

X 



X 


X 

X 

4 

Scherpenzeel 

X 





X 


2 

Schijndel 

X 

X 

X 

X 

X 

X 

X 

7 

Schinnen 

X 







1 

Schoonhoven 

X 

X 

X 

X 

X 


X 

6 

Sluis 

X 



X 




2 

Südwest Fryslan 


X 

X 





2 

Texel 

X 

X 

X 

X 


X 


5 

Twenterand 

X 

X 

X 

X 

X 



5 

Tynaarlo 

X 

X 

X 

X 

X 

X 

X 

7 

Urk 

X 

X 

X 

X 

X 

X 


6 

Veldhoven 

X 







1 

Venray 




X 




1 

Vlaardingen 

X 

X 

X 

X 

X 

X 

X 

7 

Vught 

X 


X 



X 


3 

Waal re 

X 

X 

X 

X 

X 


X 

6 

Wassenaar 

X 


X 

X 




3 

Weert 

X 

X 

X 

X 




4 

Werkendam 








0 


Pagina 50 van 73 
















































| Suwinet 'veilig omgaan met eikaars gegevens' | mei 2015 


Gemeente 

Norm 

1.3 

Norm 

1.4 

Norm 

1.5 

Norm 

2.2 

Norm 

2.3 

Norm 

13.1 

Norm 

13.5 

Aantal normen 
Voldoende 

West Maas en Waal 

X 


X 

X 




3 

Weststellingwerf 

X 

X 

X 

X 

X 

X 

X 

7 

Wierden 

X 


X 

X 




3 

Wormerland 

X 

X 


X 

X 

X 


5 

Woudenberg 








0 

Zevenaar 

X 

X 

X 

X 

X 

X 

X 

7 










T otaal onderzoek 2013 

76% 

31% 

21% 

30% 

24% 

38% 

20% 

Gem. 2.4 

Totaal onderzoek 2015 

82% 

63% 

53% 

72% 

44% 

53% 

37% 

Gem. 3.9 


Gemeenten in kleur zaten ook in het vorige onderzoek van de Inspectie SZW. 
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Bijlage 4 Overzicht bevindingen gemeenten in het vorig onderzoek (43) 


Gemeente 


Norm 

1.3 

Norm 

1.4. 

Norm 

1.5 

Norm 

2.2 

Norm 

2.3 

Norm 

13.1 

Norm 

13.5 

Aantal 

normen 

voldoende 

Alblasserdam 

2013 

X 







1 

2015 

X 

X 

X 

X 


X 

X 

6 

Alphen aan den 

Rijn 

2013 

X 

X 



X 



3 

2015 

X 

X 

X 

X 

X 

X 


6 

Baarle-Nassau 

2013 








0 

2015 








0 

Bergambacht 

2013 

X 



X 

X 

X 


4 

2015 

X 

X 

X 

X 

X 


X 

6 

Boekel 

2013 

X 



X 




2 

2015 

X 

X 

X 

X 

X 

X 

X 

7 

Brielle 

2013 








0 

2015 








0 

Brunssum 

2013 

X 

X 

X 


X 


X 

5 

2015 

X 


X 

X 

X 

X 

X 

6 

Bunschoten 

2013 








0 

2015 

X 

X 

X 


X 


X 

5 

Dalfsen 

2013 



X 





1 

2015 




X 


X 

X 

3 

De Ronde Venen 

2013 



X 

X 




2 

2015 

X 

X 

X 

X 

X 


X 

6 

De Wolden 

2013 

X 

X 

X 

X 

X 

X 


6 

2015 

X 



X 

X 

X 

X 

5 

Den Haag 

2013 

X 


X 

X 




3 

2015 

X 

X 


X 

X 



4 

Enkhuizen 

2013 

X 







1 

2015 

X 

X 





X 

3 

Ermelo 

2013 








0 

2015 

X 

X 

X 

X 

X 

X 

X 

7 

Franekeradeel 

2013 

X 





X 


2 

2015 

X 

X 

X 

X 

X 

X 


6 

Haarlem 

2013 

X 

X 

X 

X 

X 

X 


6 

2015 

X 

X 

X 

X 

X 

X 


6 

Heemskerk 

2013 

X 







1 

2015 

X 

X 






2 

Hof van Twente 

2013 

X 







1 

2015 

X 







1 

Hoogeveen 

2013 

X 







1 

2015 

X 

X 

X 

X 

X 



5 

Korendijk 

2013 







X 

1 

2015 

X 

X 

X 

X 

X 

X 

X 

7 

Laarbeek 

2013 

X 



X 




2 

2015 

X 

X 


X 

X 



4 

Maasgouw 

2013 

X 







1 

2015 

X 


X 

X 

X 

X 


5 

Middelburg 

2013 

X 



X 


X 


3 

2015 

X 

X 


X 

X 

X 

X 

6 

Midden-Drenthe 

2013 

X 







1 

2015 








0 

Moerdijk 

2013 


X 

X 



X 


3 

2015 








0 

Noord-Beveland 

2013 

X 







1 

2015 

X 

X 

X 

X 




4 
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Gemeente 


Norm 

1.3 

Norm 

1.4. 

Norm 

1.5 

Norm 

2.2 

Norm 

2.3 

Norm 

13.1 

Norm 

13.5 

Aantal 

normen 

voldoende 

Oude IJsselstreek 

2013 

X 







1 

2015 

X 

X 

X 

X 


X 


5 

Oudewater 

2013 

X 

X 

X 

X 


X 


5 

2015 

X 



X 




2 

Roermond 

2013 

X 

X 

X 

X 

X 

X 

X 

7 

2015 

X 

X 

X 

X 

X 

X 

X 

7 

Schinnen 

2013 

X 







1 

2015 

X 







1 

Schoonhoven 

2013 

X 



X 

X 

X 


4 

2015 

X 

X 

X 

X 

X 


X 

6 

Soest 

2013 








0 

2015 

X 

X 

X 


X 


X 

5 

Stadskanaal 

2013 

X 

X 

X 

X 

X 

X 

X 

7 

2015 

X 

X 

X 

X 

X 


X 

6 

Texel 

2013 








0 

2015 

X 

X 

X 

X 


X 


5 

Tubbergen 

2013 


X 


X 

X 

X 

X 

5 

2015 

X 

X 

X 

X 

X 


X 

6 

Twenterand 

2013 

X 

X 

X 




X 

4 

2015 

X 

X 

X 

X 

X 



5 

Tynaarlo 

2013 

X 

X 


X 


X 


4 

2015 

X 

X 

X 

X 

X 

X 

X 

7 

Vlissingen 

2013 

X 





X 

X 

3 

2015 

X 

X 


X 

X 

X 

X 

6 

Wageningen 

2013 

X 



X 



X 

3 

2015 

X 

X 

X 

X 


X 

X 

6 

Weststellingwerf 

2013 

X 



X 

X 

X 

X 

5 

2015 

X 

X 

X 

X 

X 

X 

X 

7 

Zederik 

2013 

X 







1 

2015 

X 

X 

X 

X 

X 


X 

6 

Zoeterwoude 

2013 

X 

X 

X 





3 

2015 

X 

X 

X 

X 

X 



5 

Zwijndrecht 

2013 

X 







1 

2015 

X 

X 

X 

X 


X 

X 

6 











Totaal 

2013 

74% 

28% 

26% 

37% 

23% 

33% 

21% 

Gem. 2.4 

2015 

88% 

74% 

65% 

77% 

63% 

47% 

53% 

Gem. 4.7 


Gearceerde gemeenten zitten ook in de steekproef voor het landelijke beeld (78). 
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Bijlage 5 Overzicht mutaties in de uitslagen gemeenten in de vorige 
steekproef(43) 


Mutaties 

Aantal 

gemeenten 

Norm 

1.3 

Norm 

1.4. 

Norm 

1.5 

Norm 

2.2 

Norm 

2.3 

Norm 

13.1 

Norm 

13.5 

+7 

1 

1 

1 

1 

1 

1 

1 

1 

+6 

1 

1 

1 

1 

1 

1 

1 

0 

+5 

7 

3 

7 

7 

4 

4 

4 

6 

+4 

5 

1 

4 

4 

4 

4 

2 

1 

+3 

6 

0 

4 

4 

3 

3 

2 

2 

+2 

7 

0 

5 

2 

2 

2 

-1 

4 

+1 

5 

1 

1 

0 

2 

2 

0 

-1 

0 

6 

0 

0 

0 

0 

0 

0 

0 

-1 

3 

-1 

-1 

-1 

0 

0 

-1 

+1 

-2 

0 

0 

0 

0 

0 

0 

0 

0 

-3 

2 

0 

-2 

-2 

0 

0 

-2 

0 










TOTAAL 

43 
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Bijlage 6 Overzicht samenwerkingsverbanden (ISD en/of uitbestedingen) 


Gemeenten die grijs gearceerd zijn, maken deel uit van de steekproef voor het 
landelijke representatieve beeld. Gemeenten die blauw gearceerd zijn, maken alleen 
deel uit van het onderzoek specifiek naar de gemeenten die in 2012 reeds in het 
onderzoek zaten. 


ISD AAT 

Assen, Aa en Hunze, Tynaarlo 

Sociale Dienst Drechtsteden 

Alblasserdam, Hendrik Ido Ambacht, Papendrecht, 
Zwiindrecht, Sliedrecht, Dordrecht 

ISD Kromme rijn Heuvelrug 

De Bilt, Bunnik, Utrechtse Heuvelrug, Wijk bij 

Duurstede, Zeist 

RSD Alblasserwaard en 

Molenwaard, Lingewaal, Zederik, Giessenlanden, 

Vjjfherenlanden 

Leerdam, Hardinxveld-Giessendam, Gorinchem 

SD BBS 

Baarn, Bunschoten, Soest 

ISD BOL 

Brunssum, Onderbanken, Landgraaf 

ISD Bollenstreek 

Hilleqom, Lisse, Noordwijk, Noordwijkerhout, Teylinqen 

ISD De Kempen 

Bladel, Bergeijk, Eersel, Oirschot, Reusel-De Mierden 

ISD De Liemers 

Zevenaar, Duiven, rijnwaarden, Westervoort 

ISD Helmond 

Deurne, Geldrop-Mierlo, Helmond 

ISD Dienst Sociale Zaken en 

Franekeradeel, Het Bildt, Menameradiel, 

Werkgelegenheid NW-Fryslan 

Ferwerderadiel, Vlieland, Terschelling, 

Leeuwarderadeel, Harlingen 

ISD Intergemeentelijke Afdeling 

Bloemendaal, Haarlemmerliede en Spaarnwoude, 

Sociale Zaken 

Heemstede 

ISD K5 gemeenten 

Bergambacht, Nederlek, Ouderkerk, Schoonhoven, Vlist 

ISD Lekstroom 

Houten, IJsselstein, Lopik, Nieuwegein, Vianen 

ISD Nieuwkoop 

Nieuwkoop, Kaag en Braassem, Alphen a/d Rijn 

ISD Noaberkracht 

Dinkelland, Tubbergen 

ISD Noordenkwartier 

Leek, Marum, Noordenveld 

ISD Optimisd 

Bernheze, Schijndel, Sint-Michielsgestel, Veghel 

ISD Orionis Walcheren 

Middelburg, Veere, Vlissingen 

Sociale Zaken Woerden 

Woerden, Oudewater, Montfoort 

BAR organisatie 

Barendrecht, Albrandswaard, Ridderkerk 

ISD ISWI 

Aalten, Oude IJsselstreek 

ISD Pentasz Mergelland 

Eijsden-Margraten, Gulpen-Wittem, Meerssen, Vaals 

ISD Regionale Sociale Dienst 

Binnenmaas, Strijen, Cromstrijen, Oud-Beijerland, 

Hoeksche Waard 

Korendijk 

ISD Spijkenisse 

Bernisse, Brielle, Nissewaard, Spijkenisse 

ISD SWI 

Valkenswaard, Cranendonck, Heeze-Leende, Waalre 

ISD Veluwerand 

Zeewolde, Harderwijk, Ermelo 

ISD 

Leidschendam-Voorburg, Wassenaar, voorschoten 

HBel-gemeenten 

Laren (NH.), Huizen, Blaricum, Eemnes 

Tilburg 

Baarle Nassau, Tilburg 

Bestuursdient Ommen-Hardenberg 

Ommen -Hardenberg 

Samenwerkingsverband 

Dantumadiel, Dongeradeel,Schiermonnikoog 

Samenwerkingsverband 

Olst-Wijhe,Raalte/Deventer 

Samenwerkingsverband 

Apeldoorn, Brummen 

Samenwerkingsverband 

Zaanstad, Wormerland 

Samenwerkingsverband 

Venray,Venlo 
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Bijlage 7 Methodologische verantwoording 


Representativiteit 

Voor dit onderzoek is een zuiver aselecte steekproef getrokken van 78 uit de 
403 gemeenten (peildatum september 2014). Hiermee kunnen uitspraken worden 
gedaan over alle gemeenten met 95% betrouwbaarheid en een onnauwkeurig- 
heidsmarge van 10%. 

Voor het onderzoek is tevens een zuiver aselecte steekproef getrokken van 43 uit de 
80 gemeenten die in het vorige onderzoek zaten. Hiermee kunnen uitspraken wor¬ 
den gedaan over deze 80 gemeenten met 95% betrouwbaarheid en een onnauw- 
keurigheidsmarge van 10%. 

Onderzoekspeildata 

Voor het beoordelen van de maatregelen die gemeenten in 2014 hebben getroffen is 
uitgegaan van de stand van zaken per 1 september 2014. Maatregelen en docu¬ 
menten, zoals beveiligingsplannen, die na deze datum tot stand zijn gekomen, zijn 
in de beoordeling nog meegenomen als aantoonbaar was dat er voor het meet¬ 
moment zaken intern wel al bekend en nageleefd werden. 

Reikwijdte uitspraken 

Het onderzoek richt zich op zeven essentiële normen. Dat is een deel van het totale 
normenkader dat bestaat uit 115 normen (waarvan 26 essentieel zijn). 

Het voldoen aan de zeven normen zegt niets over het voldoen aan de overige 
normen. 

Het onderzoek is uitgevoerd op basis van de door de gemeenten gegeven antwoor¬ 
den op een standaardvragenlijst en opgestuurde bewijsstukken. De Inspectie SZW 
heeft de betrokken gemeenten niet bezocht en heeft dus niet ter plekke gekeken 
naar de uitvoering. 

Bij het beoordelen van de beheersingsmaatregelen rond het veilig gebruik van 
informatiesystemen wordt dikwijls onderscheid gemaakt in 'de opzet', het 'bestaan' 
en 'de werking' van beheersingsmaatregelen. De opzet heeft vooral betrekking op 
de formele organisatie. Bij onderzoek naar het bestaan wordt vastgesteld of de be¬ 
schreven organisatie daadwerkelijk in de praktijk bestaat. Bij werking wordt onder¬ 
zocht hoe de organisatie daadwerkelijk functioneert en wordt ook aandacht besteed 
aan de informele organisatie. 

Op basis van de antwoorden, de ontvangen bewijsstukken en de informatie van 
BKWI kan de Inspectie SZW een geldige uitspraak doen over de opzet van het veilig 
gebruik van Suwinet. De reikwijdte van de uitspraken over bestaan en werking is 
beperkter omdat de Inspectie SZW niet ter plaatse onderzoek heeft verricht. Hoewel 
onwaarschijnlijk, is het theoretisch mogelijk dat de werking goed is terwijl dit op 
basis van de antwoorden en ontvangen bewijsdocumenten niet aan te tonen is. 
Omgekeerd kan het ook het geval zijn dat de antwoorden en bewijsstukken aan¬ 
geven dat alles goed is georganiseerd en werkt terwijl de feitelijke werking in de 
praktijk niet voldoende is. 
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Benadering gemeenten 

Half juli 2014 hebben 108 Colleges van Burgemeester en Wethouders een brief ont¬ 
vangen, waarin het onderzoek werd aangekondigd. In de brief werd verzocht om de 
naam en het e-mailadres van een contactpersoon (bij voorkeur een security officer) 
door te geven. De brief leverde, na schriftelijke en telefonische rappelleringen, 
100% respons op. 

Aan de contactpersoon is per e-mail een vragenlijst verzonden. De antwoorden en 
de meegestuurde bewijsstukken zijn vervolgens beoordeeld. Daarbij is ook de 
informatie van BKWI benut. In vrijwel alle gevallen leidde bestudering van de 
antwoorden en bewijsstukken tot aanvullende vragen. Deze zijn per e-mail aan de 
contactpersoon verzonden. 

Na beoordeling van de aanvullende antwoorden en bewijsstukken zijn de resultaten 
in concept verzonden aan de Colleges van B&W en de contactpersoon. De gemeen¬ 
ten is gevraagd te reageren op deze conceptrapportage en bij verschil van mening 
aanvullende bewijsstukken op te sturen. 

Na ontvangst van de reacties of het verstrijken van de reactietermijn zijn de defi¬ 
nitieve rapportages van bevindingen verzonden aan het college van B&W en de 
gemeenteraad. 

Binnen het project is een team van kwaliteitsborgers ingericht. Dit team heeft elke 
stap in het proces gecontroleerd, voordat vervolgens de reactie naar de gemeente 
werd gestuurd. 


Informatie van BKWI 

BKWI logt de gegevens van het gebruik van SUWInet 


SUWInet-inkijk 

Logging van gegevens op BSN-niveau per medewerker gemeente 

SUWInet-inlezen 

Logging van gegevens op BSN niveau per gemeente/ISD 


Op basis van de loggings maakt BKWI een maandelijkse rapportage. Deze rappor¬ 
tage is maandelijks door gemeenten opvraagbaar via Suwinet. Deze rapportage 
bevat onder meer informatie over het totaal aantal opvragingen, het aantal burger- 
servicenummers dat is geraadpleegd, het aantal opvragingen binnen en buiten 
kantooruren, het aantal geslaagde en niet geslaagde inlogpoginingen, het aantal 
actieve en inactieve accounts etc. Tevens is de rapportage voorzien van een toe¬ 
lichting. De rapportage bevat geen gegevens die naar natuurlijke personen zijn te 
herleiden. 

De Inspectie SZW heeft van BKWI van alle geselecteerde gemeenten een rappor¬ 
tage over de periode maart 2014 - september 2014 ontvangen. 

De Inspectie SZW heeft BKWI rapportages opgevraagd die het inloggedrag op de 
"zware rollen" zichtbaar maken. Dit betreft alleen Suwinet-inkijk. Doel van deze 
opvraging is opvallend zoekgedrag op te sporen. In principe gebruikt een gemeente¬ 
ambtenaar het BSN om toegang te krijgen tot iemands persoonsgegevens. Het vaak 
raadplegen van deze zware rollen kan erop wijzen dat er sprake is van onrechtmatig 
gebruik. 

In gesprek met BKWI bleek dat de registratie niet altijd eenduidig is. Tevens kan de 
wijze waarop de werkprocessen bij gemeenten zijn ingericht leiden tot verschillend 
zoekgedrag. Dat betekent dat voorzichtig omgegaan dient te worden met de 
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registraties over opvallend zoekgedrag. Zo bleek dat als de ingang BSN werd 
gebruikt en vervolgens op kenteken wordt geklikt dit wordt geregistreerd als 
rechtstreeks zoeken op kenteken. 

De logfiles die zijn opgevraagd betreffen: 

zoeken op achternaam en geboortedatum 
zoeken op achternaam (3 letters) 
zoeken op postcode en huisnummer 
zoeken op kenteken 

zoeken op postcode buiten postcodegebied 

Om te bepalen wanneer er nader onderzoek nodig is, wordt een onderscheid 
gemaakt in het aantal opvragingen per account (medewerker met toegang tot 
Suwinet) en per gemeente. 

Voor het gebruik per account is navraag gedaan voor alle afwijkingen die groter zijn 
dan lx de standaardafwijking van boven het gemiddelde aantal opvragingen in 2013 
resp. 2014 (tot 1 september). 

Voor het aantal opvragingen per gemeente is allereerst het aantal opvragingen 
gedeeld door het bestand WWB. Dat is nodig omdat anders alleen de grote 
gemeenten worden geselecteerd. Vervolgens is het gemiddelde berekend en is 
gekeken welke gemeenten boven de standaardafwijking zaten. 

Ten slotte heeft de Inspectie SZW BKWI gevraagd na te gaan of en zo ja hoe vaak 
gezocht is op het BSN van bekende Nederlanders. De Inspectie SZW heeft een 
honderdtal namen aan BKWI doorgegeven. BKWI heeft vervolgens aangegeven hoe 
vaak gegevens van een of meerdere bekende Nederlanders uit de lijst van 100 door 
een of meer van de steekproefgemeenten zijn geraadpleegd. Het zoeken op 
bekende Nederlanders is voor de Inspectie SZW een indicator voor de mate waarin 
Suwinet oneigenlijk en/of onrechtmatig wordt gebruikt. 

Omdat de opvraging van bekende Nederlanders op gemeenteniveau en niet op 
accountniveau is gevraagd heeft BKWI daarbij gebruik gemaakt van de logging van 
SUWInet-inkijk. 

Voor een medewerker met toegang tot Suwinet is het verleidelijker om het BSN van 
een bekende te raadplegen. Daarbij valt te denken aan collega's, leidinggevenden, 
(nieuwe) (ex-)partner, buren, etc. Dit soort zoekgedrag is alleen op te sporen door 
een vergelijking te maken tussen de door de medewerker geraadpleegde BSN en 
zijn klantenbestand. Wie interessant is voor welke medewerker, is immers vooraf 
niet bekend. Alleen als er is gezocht op namen van niet-klanten kan een vermoeden 
rijzen omtrent dit ongewenste zoekgedrag. Bij een afwijking kan de medewerker om 
een verklaring worden gevraagd. Er zijn bij dit onderzoek gemeenten geweest die 
deze controle periodiek en steekproefsgewijs hanteren. De meeste gemeenten doen 
dit overigens niet. 

Bij opvallend zoekgedrag is aan de contactpersoon van de gemeente gevraagd of 
men deze 'afwijking' zelf ook heeft geconstateerd en of men hiervoor een verklaring 
kan geven. 
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Bijlage 8 Wettelijk kader 


Op grond van artikel 62, eerste lid, Wet SUWI wisselen het UWV, de SVB en 
gemeenten persoonsgegevens uit in het kader van de uitvoering van hun wettelijke 
taken. 

De SUWI-partijen dragen gezamenlijk zorg voor de instandhouding van de 
Gemeenschappelijke elektronische Voorzieningen SUWI (GeVS) voor de verwerking 
van gegevens (artikel 62, tweede lid, Wet SUWI). 

Het Besluit SUWI en de Regeling SUWI bevatten nadere regelgeving ten aanzien van 
de GeVS. 

Op grond van artikel 5.21 Besluit SUWI voert het UWV ten behoeve van de geza¬ 
menlijke zorg voor de instandhouding van de GeVS een aantal beheertaken uit. Het 
Bureau Keteninformatisering Werk & Inkomen (BKWI) is belast met deze beheer¬ 
taken. 

Op grond van artikel 6.4 Regeling SUWI dragen het UWV, de SVB, de colleges van 
burgemeester en wethouders, het IB en op de GeVS aangesloten niet SUWI-partijen 
zorg voorde beveiliging van de gegevensuitwisselingen overeenkomstig hetgeen 
over de voor het stelsel van maatregelen en procedures te hanteren normen wordt 
bepaald in bijlage I ("Stelselontwerp & Beveiliging Gezamenlijke elektronische 
Voorzieningen SUWI"). 

Het UWV, de SVB, de colleges van burgemeester en wethouders, het IB en de 
aangesloten niet SUWI-partijen dienen ieder in een beveiligingsplan aan te geven op 
welke wijze zij hieraan invulling geven. 

Op grond van artikel 6.4, derde lid, Regeling SUWI dienen het UWV, de SVB en het 
IB jaarlijks te rapporteren over het gebruik en de inrichting van de GeVS. Deze 
rapportage gaat vergezeld van een oordeel van een EDP-auditor. 

In het Stelselontwerp is opgenomen dat de SUWI-partijen onderling en gezamenlijk, 
met het BKWI, afspraken maken op de verschillende deelgebieden van informatie- 
uitwisseling binnen de SUWI-keten. Uiteindelijk vinden de afspraken hun weerslag in 
diverse concrete producten, zoals de Verantwoordingsrichtlijn Privacy & Beveiliging 
GeVS. 

De Verantwoordingsrichtlijn bevat tevens het Normenkader GeVS. Dit is een 
praktische vertaling van de eisen op het gebied van beveiliging en privacy. 

De Inspectie SZW beschouwt het Normenkader GeVS als de professionele standaard 
voor alle SUWI-partijen op het gebied van beveiliging en privacy. 

Het normenkader maakt een onderscheid in twintig aandachtsgebieden en maakt 
tevens een onderscheid in essentiële en niet essentiële normen. Door SUWI-partijen 
is aan essentiële normen een zwaarder gewicht toegekend. In de verantwoordings¬ 
richtlijn is bepaald dat een goedkeurend oordeel door een auditor alleen kan worden 
gegeven indien uit de bevindingen van alle als essentieel onderkende normen blijkt 
dat voldaan wordt aan de norm. Bij de overige normen mag er sprake zijn van zgn. 
niet-materiële tekortkomingen. 
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De Inspectie heeft in het kader van het onderzoek naar de beveiliging van 
gemeenten zeven essentiële normen geselecteerd. 


Organisatie 

Aandachtsgebieden 

Aantal 

Normen 

Aantal 

Essentiële 

Normen 

Norm ge¬ 
bruikt in 
dit onder¬ 
zoek 

1 

Organisatorische aspecten 

10 

6 

5 

2 

Architectuur / Standaarden 

4 

2 


Ondersteunende processen 

3 

Dienstenniveau Beheer 

3 

- 


4 

Capaciteitsbeheer 

4 

- 


5 

Continuïteitsbeheer 

5 

1 


Beheerprocessen 

6 

Configuratiebeheer 

4 

- 


7 

Incident- en probleembeheer 

7 

2 


8 

Wijzigingbeheer 

6 

3 


9 

Testen 

6 

3 


10 

Netwerkbeheer 

4 

- 


11 

Logische toegangsbeveiliging 

10 

2 

2 

12 

Fysieke beveiliging 

2 

1 


Functies 

13 

Suwinet-Inlezen 

10 

- 


14 

Electronische ketenberichten (EKB's) 

5 

- 


15 

Suwinet-Mail (Ongestructureerde 
berichten) 

6 



16 

Toegangbeveiliging programmatuur 

7 

1 


17 

Suwinet-Broker 

niet verder 
uitgewerkt 

- 


Techniek 

18 

Netwerk 

8 

3 


19 

Server 

7 

- 


20 

Koppelingen / koppelpunten 

7 

2 


Totaal 

115 

26 

7 


Tabel: Normenkader GeVS 


Van deze 115 normen zijn er 11 (incl. 3 essentiële normen) die alleen betrekking 
hebben op de beherende taken van BKWI. 
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Bijlage 9 Opvallend zoekgedrag 


Van BKWI heeft de Inspectie SZW lijsten ontvangen over 2013 en 2014 (tot 
1 september). Op basis van een statistische bewerking is gekeken welke gemeenten 
opmerkelijk zoekgedrag kennen. Dat wil overigens niet zeggen dat er iets aan de 
hand is maar dat het wel gewenst in die gevallen nader onderzoek te verrichten. De 
gemeenten zijn hierover benaderd. 

Overzicht opvallend zoekgedrag 2014 op basis van de gecombineerde steekproeven. 
Daarbij is gekeken naar opvallend zoekgedrag op gemeente- en accountniveau. 



Gemeenteniveau 

Accountniveau 

Opvallende logging 
achternaam en 
geboortedatum (5a) 

1 

13 

Opvallende logging 3letters 
achternaam (5b) 

2 

8 

Opvallende logging huisnr 
en Postcode (5c) 

8 

23 

Opvallende logging aantal 
keren gelijke Postcode (5d). 

10 

25 

Opvallende logging 

Postcode (5e) 

9 

11 

Opvallende logging 
kenteken (5f). 

4 

15 


Bij het opmerkelijk zoekgedrag bleek dat de registratie op kenteken niet alleen 
betrekking had op directe raadplegingen, maar ook op raadplegingen waarbij men 
via het BSN naar een kenteken ging zoeken. Tevens kan opvallend zoekgedrag te 
maken hebben met de wijze waarop gemeenten werkprocessen hebben ingericht. 

De lijst is dus een eerste (statistische) signalering. Of er daadwerkelijk sprake is van 
opvallend zoekgedrag blijkt uit de nadere analyse. 

Bij twee van de geselecteerde gemeenten was sprake van het raadplegen van 
bekende Nederlanders (periode 1 januari 2014 - 1 september 2014). De gemeenten 
hebben hiervoor geen verklaring gegeven. Bij het vorige onderzoek waren er 
14 gemeenten met een raadpleging van een bekende Nederlander (periode 
1 januari 2011 - 31 december 2013). Het aantal opvragingen is iets meer dan 
gehalveerd; dat betekent in concreto nog steeds dat van alle Nederlandse 
gemeenten er in 2014 ca. 15 gemeenten zijn waar gezocht is naar deze groep 
Nederlanders. 
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Bijlage 10 Analyse grote en kleine gemeenten 


De inspectie is ook in dit onderzoek, net zoals bij gelijksoortige eerdere onder¬ 
zoeken, gewezen op verschillen in de beheersing van de beveiliging die zouden 
samenhangen met de omvang van de organisatie die de WWB uitvoert. Het 
uitgangspunt daarbij is dat grotere gemeenten gemakkelijker administratieve 
processen kunnen opzetten ter bewaking van het gebruik van elektronische 
gegevens dan kleinere. Kleinere organisaties zouden dit kunnen compenseren met 
soft Controls, bijvoorbeeld omdat ambtenaren bij kleinere organisaties beter in de 
gaten hebben wat collega's doen op Suwinet dan bij grotere organisaties. Omdat 
echter de inspectie de nadruk legt op de administratieve organisatie, procedures en 
processen, worden die soft Controls niet of onvoldoende meegewogen - zo is de 
stelling - en zullen kleinere organisaties minder vaak aan de normen voldoen dan 
grotere. 

Om deze hypothese te testen, heeft de inspectie een vergelijking gemaakt tussen 
grotere en kleinere gemeenten enerzijds, en goed en minder goed scorende ge¬ 
meenten anderzijds. Het gebruik van het woord "gemeente" is hier eigenlijk niet 
terecht. Zoals al is besproken, blijkt dat veel gemeenten samenwerken bij de WWB, 
of de uitvoering hebben opgedragen aan een grotere (kern)gemeente. Omdat de 
stelling is dat grotere uitvoeringsorganisaties gemakkelijker aan de normen kunnen 
voldoen, moet dan ook niet worden gekeken naar sec de omvang van de gemeente 
zelf, maar naar de omvang van de feitelijk uitvoerende organisatie (samenwer¬ 
kingsverband, ISD). Dat wil zeggen dat de inspectie het aantal normen waaraan 
zo'n uitvoerende organisatie voldoet (de prestatie), heeft afgezet tegen het aantal 
WWB-ers dat van die organisatie een uitkering verkrijgt (de omvang van de organi¬ 
satie). Hierbij is de grens tussen "groot" en "klein" een aantal keren op verschillende 
wijze getrokken, namelijk zodanig dat er veel kleine en weinig grote organisaties 
zijn, respectievelijk dat het aantal grote en kleine organisaties ongeveer even groot 
is, respectievelijk er meer grote dan kleine gemeenten zijn. In het laatste geval 
worden eigenlijk alleen de allerkleinste uitvoeringsorganisaties qua presteren 
vergeleken met de rest. 

Gezocht is niet op omvang van het inwonertal maar op aantal WWB-ers (als 
indicatie voor het uitvoeringsapparaat). In geen van de drie onderzochte situaties 
(1/3 groot - 2/3 klein, 1/2 groot - 1/2 klein en 1/6 klein - 5/6 groot) trof de 
inspectie uitkomsten aan die de hypothese dat grotere organisaties beter presteren 
(dan wel dat kleinere minder goed presteren) onderbouwen. In onderstaande tabel 
zijn de uitkomsten weergegeven voor de vergelijking van de allerkleinste entiteiten 
met de resterende uitvoeringsorganisaties. 

Uit de tabel blijkt dat het aantal gemeenten dat goed of minder goed presteert (de 
waargenomen aantallen) vrijwel gelijk is aan het aantal dat verwacht mag worden 
als er geen verschil zou zijn in de prestaties (de theoretisch verwachte aantallen). 
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Kruistabel van het aantal gemeenten dat weinig (<4) of meer (4 t/m 7) normen 
positief scoorde en het aantal grote en kleine gemeenten naar aantal uitkeringen WWB, 
waarbij een zesde van het aantal gemeenten als klein wordt gekarakteriseerd. 

Met daarbij het verwachte aantal als de grootte geen enkele invloed zou hebben 
op het aantal goed beoordeelde normen. 



Aantal normen dat c 

joed is beoordeeld 

Totaal 

aantal 

gemeenten 

Weinig 

Veel 

Gemeentegrootte naarWWB Klein Feitelijk vastgesteld 

7 

4 

11 

Verwacht 

6,2 

4,8 

11,0 

Groot Feitelijk vastgesteld 

32 

26 

58 

Verwacht 

32,8 

25,2 

58,0 

Totaal aantal gemeenten 

39 

30 

69 
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Bijlage 11 Vragenlijst uitvraag gemeenten (blanco) 


Contactgegevens 

Gemeente 

Functionaris, naam, functie en afdeling 

Mailadres 

Telefoonnummer 


Norm 1 (beveiligingsbeleid en beveiligingsplan) 

Vragen: 

a. Heeft uw Sociale Dienst een informatiebeveiligingsbeleid? 

b. Heeft uw Sociale Dienst een informatiebeveiligingsplan zoals genoemd in de 
regeling SUWI? 

c. Is het plan goedgekeurd door het management van de Sociale Dienst en 
wanneer? 

d. Wordt het beleid en het plan uitgedragen in de organisatie? 

e. Op welke wijze gebeurt dit? 

f. Vindt evaluatie en actualisatie van het informatiebeveiligingsbeleid en het 
informatiebeveiligingsplan plaats? 

g. Met welke frequentie en hoe gebeurt dit? 

h. Worden er werkzaamheden uitgevoerd door bijvoorbeeld een Intergemeentelijke 
Sociale Dienst (ISD), sociale recherche of ander samenwerkingsverband? 

i. Zo ja, op welke wijze zijn taken en bevoegdheden, relevant voor het onderwerp 
informatiebeveiliging, gemandateerd of overgedragen? 

Bewijsstukken: 

o Bovengenoemd informatiebeveiligingsbeleid en beveiligingsplan; 
o Stukken waaruit blijkt dat deze: 

■ door het management zijn geaccordeerd (bijv. een verslag); 

■ binnen de organisatie zijn uitgedragen (bijv. verslagen, presentaties, 
interviews); 

■ periodiek worden geëvalueerd en geactualiseerd (bijv. verslagen, oude 
versies en wijzigingen). 

o Bij mandatering of overdracht van taken: mandateringsbesluiten, 
gemeenschappelijke regelingen en contracten. 
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Norm 2 (organisatorische aspecten) 

Vragen: 

a. Heeft u taken en verantwoordelijkheden en bevoegdheden t.a.v. het gebruik van 
Suwinet beschreven? 

b. Hoe heeft u deze belegd? 

c. Op basis van welke criteria hebben medewerkers: 

i. toegang tot gegevens uit Suwinet? 

ii. Zware rollen (zoals bijvoorbeeld de GSD-rollen 018, 021 en 030 en/of 
eventueel door u zelf samengestelde R-rollen)? 

iii. de mogelijkheid bevoegdheden te verlenen? 

d. Wat is uw beleid voor de controle van het gebruik? 

e. Maakt u gebruik van Suwinet-Inlezen? 

f. Zo ja, wat is het beleid voor veilig gebruik van Suwinet Inlezen? Zo nee, kunt u 
de hieronder deel 2 van de bij norm 13 gestelde vragen overslaan. 

g. Heeft u een security officer aangesteld? 

i. Wat is zijn/haar takenpakket? 
ii. Hoe geeft hij/zij hieraan invulling? 

Bewijsstukken: 

o Beschrijving taken en bevoegdheden, hoe deze zijn belegd en hoe met 
(speciale) bevoegdheden wordt omgegaan; 

o Uitgangspunten en richtlijnen voor het gebruik van Suwinet-Inlezen; 

o Naam van de security officer, zijn/haar takenpakket en rapportages die door 
hem/haar in 2014 zijn opgesteld (eventueel geanonimiseerd). 


Norm 13 (logische toegangsbeveiliging) 

Bij gebruik van Suwinet In kijk (deel 1 ): 

a. Hoeveel medewerkers hebben toegang tot Suwinet? 

b. Zijn dit allen medewerkers van de Sociale Dienst of ook medewerkers van 
andere afdelingen, diensten en/of instellingen? 

c. Hoeveel hiervan hebben zware rollen en welke? 

d. Hoeveel medewerkers (en welke functie hebben deze) kunnen toegangsrechten 
verlenen en hoe gebeurt dit? 

e. Hoe, en hoe vaak controleert u de verleende toegangsrechten en het gebruik 
van Suwinet in de praktijk? 
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f. Maakt u gebruik van niet-persoonsgebonden accounts (meerdere medewerkers 
die van 1 account gebruik maken)? 

g. Heeft u daarnaast indicaties dat meerdere personen van hetzelfde account 
gebruik maken? 

h. Hoe worden bevoegdheden in de praktijk verleend en weer ingetrokken? 

i. Gebruikt u voor controle de periodieke rapportages van BKWI? Hoe vaak heeft u 
deze in 2014 jaar opgevraagd? Controleert u het gebruik ook nog op een andere 
wijze? 

j. Hoe vaak hebt u in 2014 specifieke rapportages opgevraagd bij BKWI 
(rapportages die tot individuele personen - burgers of medewerkers - 
herleidbaar zijn)? 

Bij gebruik van Suwinet In lezen (deel 2): 

a. Hoeveel medewerkers hebben toegang tot gegevens die middels Suwinet 
Inlezen zijn verkregen? 

b. Zijn dit allen medewerkers van de Sociale Dienst of ook medewerkers van 
andere afdelingen, diensten en/of instellingen? 

c. Hoeveel hiervan hebben zware rollen en welke? 

d. Hoeveel medewerkers kunnen toegangsrechten verlenen en welke functies 
hebben deze medewerkers? Hoe gebeurt dit? 

e. Hoe, en hoe vaak controleert u het gebruik van Suwinet gegevens in de 
praktijk? 

f. Maakt u gebruik van niet-persoonsgebonden accounts (meerdere medewerkers 
die van 1 account gebruik maken)? 

g. Heeft u daarnaast indicaties dat meerdere personen van hetzelfde account 
gebruik maken? 

h. Hoe worden bevoegdheden in de praktijk verleend en weer ingetrokken? 

i. Gebruikt u voor controle vergelijkbare overzichten als de periodieke en 
specifieke rapportages van BKWI? Hoe vaak heeft u deze het afgelopen jaar 
opgevraagd? Controleert u het gebruik ook nog op een andere wijze? 

Bewijsstukken: 

o Overzichten van autorisaties, speciale toegangsrechten, controles, incidenten, 
maatregelen, overige rapportages en relevante mailwisselingen. U kunt de 
bewijsstukken desgewenst anonimiseren. 
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Bijlage 


2015 

R15/01 

R15/02 


2014 

R14/01 

R14/02 

R14/03 

R14/04 

R14/05 

R14/06 


2013 

R13/01 

R13/02 

R13/03 

R13/04 

R13/05 

R13/06 

R13/07 

R13/08 

R13/09 


12 Publicaties van de Inspectie SZW - directie Werk en Inkomen 


Gemeentelijke aandacht voor verdringing door bijstandsgerechtigden 
Suwinet 'veilig omgaan met eikaars gegevens' 


Handhaving tijdens de Dienstverlening 
Kansen voor oudere Ww-ers (45+)! 

Afspraken en resultaten regionaal arbeidsmarktbeleid 
Ken uw klanten 
De boete belicht 

Uitvoering van de WWB voor jongeren (18-27 jaar) 


De Sociale Verzekeringsbank; Veranderprogramma SVBTien 
De invloed van ontheffingen op de arbeidsparticipatie van WWB'ers 
Regierol gemeenten bij regionaal arbeidsmarktbeleid 
Over signaal, sanctie en incasso 

Dienstverlening aan oudere (45+) bijstandsgerechtigden 
Van schoolgaand kind tot zelfstandig jongere ACTIEF OP WEG 
NAAR WERK 

Verordeningsplicht gemeenten maatschappelijke participatie kinderen 
De burger bediend in 2013 

Voor wat hoort wat; Een beschrijving van de uitvoering van de 
tegenprestatie naar vermogen door gemeenten 
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